记录实战中一些正常正面绕过PHP disable function的方法，以及由天时地利结合特定场景下的迂回绕过的一次打点。

php网站成功getshell但是在webshell上无法执行命令，查看执行命令后的回显发现是php对于执行命令函数进行了限制。

当前版本为php5.6，网上对于 php disable function绕过的方法以及文章有很多，大部分绕过方式都被蚁剑集中在了一起做了一个插件，于是第一个绕过就使用蚁剑的插件进行一把梭。采用的是用.so进行绕过，原理大概是类似于dll劫持，由于linux中调用动态链接库有优先级，我们可以通过php的putenv来设置LD_PRELOAD，让我们的程序优先被调用，制造一个恶意的动态链接库去进行劫持，从而绕过系统本身被禁用的执行命令函数。

在当前文件生成一个恶意的.so，然后创建一个新的webshell即可绕过disable function

第二个php网站的点，遇到了很多困难：    

该点与第一个点大同小异，都开启了php的disable function函数，搭建了一个网站站群，但是唯一的不同是windows的。

一把梭的方法许多都是针对于linux的而且还有大部分都是php高版本，顿时对于php5.6陷入了沉思。

针对于网上的一些类似于使用window com组件的方法都进行了尝试，发现机器上并没有开启一些扩展。

时间一顿陷入了停滞，逐渐无聊起来，于是对着目录进行了一顿翻找。由于是低权限，可浏览的目录也较少。

在web根目录的下面发现了一个可疑的压缩包。

由于目标站点为站群，在以往的渗透经验中发现运维人员一般会用集成化工具，添加大量用户启动不同对应的站点以及数据库以及ftp。

下载该文件之后发现是该服务器初始化时所有的ftp以及mysql的随机生成账号密码截图。   

通过对比，发现有站点是可以解析asp以及aspx的，于是脑瓜子里进行了一个猜想，我们是否可以通过登录该对应站点的ftp进行一个aspx或者asp的木马上传从而绕过php的执行命令函数限制呢?

尝试连接对应站点的ftp账号连接发现，ftp目录就在www文件夹底下，于是上传我们的asp文件，成功拿下该服务器！

在实战中，任何未曾预见到的场景都可能发生，在正面无法突破的情况下更应思考如何去迂回绕过。    

后台回复“加群”或“小助手”，或扫描下方二维码加入我们的付费圈子，一起进步吧

原文始发于微信公众号（YNsec安全实验室）：一次有意思的PHP disable function迂回绕过