这是一个创建于 1991 天前的主题,其中的信息可能已经有所发展或是发生改变。
某些项目不得已需要使用system()函数调用系统命令,在 PHP 5.4 之前可以开启安全模式(safe_mode=On)并设置只能运行指定目录下的命令。
但是 5.4 之后已经废弃安全模式,那么 PHP 7 有什么办法让system()函数只能运行指定命令。比如骇客上传了一个恶意的 PHP 文件,执行system("cat /etc/passwd"),有什么办法让这个命令无法运行?
 |
1
jybox 2018-11-11 21:43:10 +08:00  1
在 PHP-FPM 里设置单独的用户来运行 PHP,为各类文件设置正确的所有者和权限。
|
 |
2
2pang 2018-11-11 21:47:07 +08:00 via iPhone 1
不用 root 用户来运行 php ls 的回答是对的
|
 |
3
xiaoz OP |
 |
4
ysc3839 2018-11-11 21:55:40 +08:00 1
如果项目是只有一个 index.php 作为入口的话,把 HTTP 服务器配置成只有 index.php 才交给 PHP 处理,同时设置好文件权限,禁止写入新文件,这样可以避免上传文件然后执行。
代码中不使用 eval 之类的执行代码的函数,可以避免直接执行代码。 |
 |
5
t6attack 2018-11-11 21:56:19 +08:00 1
nobody 的权限最低。但 cat /etc/passwd 这个命令连 nobody 都是可以执行的。
如果无法读取 /etc/passwd,linux 系统将无法运转。不获取名册,如何知道自己是谁? |
 |
7
zwl2012 2018-11-11 22:39:25 +08:00 via iPhone 1
命令传入 system 前过滤一遍呗,设置可执行白名单即可
|
 |
8
dapang1221 2018-11-11 22:41:57 +08:00 1
不知道会调用多少命令,少的话可以封装一下,不暴露给外面
|
|
10
xiaoz OP @dapang1221 需要执行的命令不多,就几个。您的意思是 PHP 封装还是其它方式封装呢?我的理解是 PHP 封装可能意义不大,因为已经开放 system 函数,骇客可利用上传漏洞使用该函数。如果是其它方式封装能提供一个思路吗,谢谢。
|
|
11
zwl2012 2018-11-11 23:30:31 +08:00 via iPhone
你要这样谨慎的话,那只能把需要 system 执行的命令封装成服务远程调用,彻底隔离 php 环境
|
 |
12
artoostark 2018-11-11 23:32:00 +08:00 1
用 Docker 试试?
|
 |
13
KasuganoSoras 2018-11-12 03:56:00 +08:00 via Android
$cmd = "ls /data"; //命令
if(preg_match("/^[A-Za-z0-9\-\_\.\/ ]+$/", $cmd)) { $exp = explode(' ', $cmd); //用空格分割命令 if($exp[0] == 'ls' && $exp[1] == '/data' && count($exp) == 2) { //判断命令以及参数是否合法 system($cmd); //执行 } } 这样相对安全一些吧,但是要想真正的安全,还是找其他方法替代或者封装比较好。 |
 |
14
mcfog 2018-11-12 08:08:08 +08:00 via Android 1
不不,为啥要基于对方可以任意执行脚本的前提下考虑?难道不应该先封堵任意执行脚本的漏洞么?
就比如说你说的 cat passwd,何苦 system 呢直接 file_get_contents 不是一样的么 |
Select Language