PHP繞過(guò)open_basedir限制操作文件的方法
0x00 預(yù)備知識(shí)
關(guān)于open_basedir
open_basedir是php.ini中的一個(gè)配置選項(xiàng)
它可將用戶(hù)訪問(wèn)文件的活動(dòng)范圍限制在指定的區(qū)域,
假設(shè)open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通過(guò)web1訪問(wèn)服務(wù)器的用戶(hù)就無(wú)法獲取服務(wù)器上除了/home/wwwroot/home/web1/和/tmp/這兩個(gè)目錄以外的文件。
注意用open_basedir指定的限制實(shí)際上是前綴,而不是目錄名。
舉例來(lái)說(shuō): 若"open_basedir = /dir/user", 那么目錄 "/dir/user" 和 "/dir/user1"都是可以訪問(wèn)的。所以如果要將訪問(wèn)限制在僅為指定的目錄,請(qǐng)用斜線結(jié)束路徑名。
關(guān)于符號(hào)鏈接
符號(hào)鏈接又叫軟鏈接,是一類(lèi)特殊的文件,這個(gè)文件包含了另一個(gè)文件的路徑名(絕對(duì)路徑或者相對(duì)路徑)。
路徑可以是任意文件或目錄,可以鏈接不同文件系統(tǒng)的文件。在對(duì)符號(hào)文件進(jìn)行讀或?qū)懖僮鞯臅r(shí)候,系統(tǒng)會(huì)自動(dòng)把該操作轉(zhuǎn)換為對(duì)源文件的操作,但刪除鏈接文件時(shí),系統(tǒng)僅僅刪除鏈接文件,而不刪除源文件本身。
0x01 命令執(zhí)行函數(shù)
由于open_basedir的設(shè)置對(duì)system等命令執(zhí)行函數(shù)是無(wú)效的,所以我們可以使用命令執(zhí)行函數(shù)來(lái)訪問(wèn)限制目錄。
我們首先創(chuàng)建一個(gè)目錄
/home/puret/test/
且在該目錄下新建一個(gè)1.txt 內(nèi)容為abc
nano 1.txt
再在該目錄下創(chuàng)建一個(gè)目錄命名為b
mkdir b
并且在該目錄下創(chuàng)建一個(gè)1.php文件內(nèi)容為
<?php echo file_get_contents("../1.txt"); ?>
且在php.ini中設(shè)置好我們的open_basedir
open_basedir = /home/puret/test/b/
我們嘗試執(zhí)行1.php看看open_basedir是否會(huì)限制我們的訪問(wèn)
執(zhí)行效果如圖
很明顯我們無(wú)法直接讀取open_basedir所規(guī)定以外的目錄文件。
接下來(lái)我們用system函數(shù)嘗試?yán)@open_basedir的限制來(lái)刪除1.txt
編輯1.php為
<?php system("rm -rf ../1.txt"); ?>
先來(lái)看看執(zhí)行1.php之前的文件情況
執(zhí)行1.php之后
成功通過(guò)命令執(zhí)行函數(shù)繞過(guò)open_basedir來(lái)刪除文件。
由于命令執(zhí)行函數(shù)一般都會(huì)被限制在disable_function當(dāng)中,所以我們需要尋找其他的途徑來(lái)繞過(guò)限制。
0x02 symlink()函數(shù)
我們先來(lái)了解一下symlink函數(shù)
bool symlink ( string $target , string $link )
symlink函數(shù)將建立一個(gè)指向target的名為link的符號(hào)鏈接,當(dāng)然一般情況下這個(gè)target是受限于open_basedir的。
由于早期的symlink不支持windows,我的測(cè)試環(huán)境就放在Linux下了。
測(cè)試的PHP版本是5.3.0,其他的版本大家自測(cè)吧。
在Linux環(huán)境下我們可以通過(guò)symlink完成一些邏輯上的繞過(guò)導(dǎo)致可以跨目錄操作文件。
我們首先在/var/www/html/1.php中 編輯1.php的內(nèi)容為
<?php mkdir("c"); chdir("c"); mkdir("d"); chdir("d"); chdir(".."); chdir(".."); symlink("c/d","tmplink"); symlink("tmplink/../../1.txt","exploit"); unlink("tmplink"); mkdir("tmplink"); echo file_put_contents("http://127.0.0.1/exploit"); ?>
接著在/var/www/中新建一個(gè)1.txt文件內(nèi)容為
"abc"
再來(lái)設(shè)置一下我們的open_basedir
open_basedir = /var/www/html/
在html目錄下編輯一個(gè)php腳本檢驗(yàn)一下open_basedir
<?php file_get_contents("../1.txt"); ?>
執(zhí)行看下。
意料之中,文件無(wú)法訪問(wèn)。
我們執(zhí)行剛才寫(xiě)好的腳本,1.php
可以看到成功讀取到了1.txt的文件內(nèi)容,逃脫了open_basedir的限制
問(wèn)題的關(guān)鍵就在于
symlink("tmplink/../../1.txt","exploit");
此時(shí)tmplink還是一個(gè)符號(hào)鏈接文件,它指向的路徑是c/d,因此exploit指向的路徑就變成了
c/d/../../1.txt
由于這個(gè)路徑在open_basedir的范圍之內(nèi)所以exploit成功建立了。
之后我們刪除tmplink符號(hào)鏈接文件再新建一個(gè)同名為tmplink的文件夾,這時(shí)exploit所指向的路徑為
tmplink/../../
由于這時(shí)候tmplink變成了一個(gè)真實(shí)存在的文件夾所以tmplink/../../變成了1.txt所在的目錄即/var/www/
然后再通過(guò)訪問(wèn)符號(hào)鏈接文件exploit即可直接讀取到1.txt的文件內(nèi)容
當(dāng)然,針對(duì)symlink()只需要將它放入disable_function即可解決問(wèn)題,所以我們需要尋求更多的方法。
0x03 glob偽協(xié)議
glob是php自5.3.0版本起開(kāi)始生效的一個(gè)用來(lái)篩選目錄的偽協(xié)議,由于它在篩選目錄時(shí)是不受open_basedir的制約的,所以我們可以利用它來(lái)繞過(guò)限制,我們新建一個(gè)目錄在/var/www/下命名為test
并且在/var/www/html/下新建t.php內(nèi)容為
<?php $a = "glob:///var/www/test/*.txt"; if ( $b = opendir($a) ) { while ( ($file = readdir($b)) !== false ) { echo "filename:".$file."\n"; } closedir($b); } ?>
執(zhí)行結(jié)果如圖:
成功躲過(guò)open_basedir的限制讀取到了文件。
相關(guān)文章
php實(shí)現(xiàn)的SSO單點(diǎn)登錄系統(tǒng)接入功能示例分析
這篇文章主要介紹了php實(shí)現(xiàn)的SSO單點(diǎn)登錄系統(tǒng)接入功能,簡(jiǎn)單分析了SSO單點(diǎn)登錄系統(tǒng)接入的原理與php相關(guān)實(shí)現(xiàn)技巧,需要的朋友可以參考下2016-10-10php5.4傳引用時(shí)報(bào)錯(cuò)問(wèn)題分析
這篇文章主要介紹了php5.4傳引用時(shí)報(bào)錯(cuò)問(wèn)題,結(jié)合實(shí)例形式分析了php5.4傳引用時(shí)報(bào)錯(cuò)問(wèn)題及解決方法,具有一定參考借鑒價(jià)值,需要的朋友可以參考下2016-01-01PHP+MySQL之Insert Into數(shù)據(jù)插入用法分析
這篇文章主要介紹了PHP+MySQL之Insert Into數(shù)據(jù)插入用法,實(shí)例分析了php+mysql基于Insert Into語(yǔ)句實(shí)現(xiàn)數(shù)據(jù)插入的相關(guān)技巧,具有一定參考借鑒價(jià)值,需要的朋友可以參考下2015-09-09thinkphp中連接oracle時(shí)封裝方法無(wú)法用的解決辦法
本篇文章是對(duì)thinkphp中連接oracle時(shí)封裝方法無(wú)法用的解決方法進(jìn)行了詳細(xì)的分析介紹,需要的朋友參考下2013-06-06PHP.ini中配置屏蔽錯(cuò)誤信息顯示和保存錯(cuò)誤日志的例子
這篇文章主要介紹了PHP.ini中配置屏蔽錯(cuò)誤信息顯示和保存錯(cuò)誤日志的例子,需要的朋友可以參考下2014-05-05PHP連接SQLServer2005的實(shí)現(xiàn)方法(附ntwdblib.dll下載)
為了php連接sql2005 ,我在網(wǎng)絡(luò)上找了一大堆資料在我的csdn博客中.晚上3:05分時(shí)候終于搞定了2012-07-07