如何通過PHP繞過open_basedir限制操作檔案

本篇文章給大家分享了PHP繞過open_basedir限制操作檔案的三種方法以及相關技巧，有興趣的朋友參考學習下。

0x00 預備知識

關於open_basedir

open_basedir是php.ini中的一個配置選項

它可將使用者訪問檔案的活動範圍限制在指定的地區，

假設open_basedir=/home/wwwroot/home/web1/:/tmp/，那麼通過web1訪問伺服器的使用者就無法擷取伺服器上除了/home/wwwroot/home/web1/和/tmp/這兩個目錄以外的檔案。

注意用open_basedir指定的限制實際上是首碼,而不是目錄名。

舉例來說: 若"open_basedir = /dir/user", 那麼目錄 "/dir/user" 和 "/dir/user1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄，請用斜線結束路徑名。

關於符號連結

符號連結又叫軟連結,是一類特殊的檔案，這個檔案包含了另一個檔案的路徑名(絕對路徑或者相對路徑)。

路徑可以是任意檔案或目錄，可以連結不同檔案系統的檔案。在對符號檔案進行讀或寫操作的時候，系統會自動把該操作轉換為對源檔案的操作，但刪除連結檔案時，系統僅僅刪除連結檔案，而不刪除源檔案本身。

0x01 命令執行函數

由於open_basedir的設定對system等命令執行函數是無效的，所以我們可以使用命令執行函數來訪問限制目錄。

我們首先建立一個目錄

/home/puret/test/

且在該目錄下建立一個1.txt 內容為abc

nano 1.txt

再在該目錄下建立一個目錄命名為b

mkdir b

並且在該目錄下建立一個1.php檔案內容為

<?php  echo file_get_contents("../1.txt");?>

且在php.ini中設定好我們的open_basedir

open_basedir = /home/puret/test/b/

我們嘗試執行1.php看看open_basedir是否會限制我們的訪問

執行效果

很明顯我們無法直接讀取open_basedir所規定以外的目錄檔案。

接下來我們用system函數嘗試繞open_basedir的限制來刪除1.txt

編輯1.php為

<?php system("rm -rf ../1.txt");?>

先來看看執行1.php之前的檔案情況

執行1.php之後

成功通過命令執行函數繞過open_basedir來刪除檔案。
由於命令執行函數一般都會被限制在disable_function當中，所以我們需要尋找其他的途徑來繞過限制。

0x02 symlink()函數

我們先來瞭解一下symlink函數

bool symlink ( string $target , string $link )

symlink函數將建立一個指向target的名為link的符號連結，當然一般情況下這個target是受限於open_basedir的。
由於早期的symlink不支援windows，我的測試環境就放在Linux下了。

測試的PHP版本是5.3.0，其他的版本大家自測吧。

在Linux環境下我們可以通過symlink完成一些邏輯上的繞過導致可以跨目錄操作檔案。

我們首先在/var/www/html/1.php中 編輯1.php的內容為

<?php  mkdir("c");  chdir("c");  mkdir("d");  chdir("d");  chdir("..");  chdir("..");  symlink("c/d","tmplink");  symlink("tmplink/../../1.txt","exploit");  unlink("tmplink");  mkdir("tmplink");  echo file_put_contents("http://127.0.0.1/exploit");?>

接著在/var/www/中建立一個1.txt檔案內容為

"abc"

再來設定一下我們的open_basedir

open_basedir = /var/www/html/

在html目錄下編輯一個php指令碼檢驗一下open_basedir

<?php   file_get_contents("../1.txt");?>

執行看下。

意料之中，檔案無法訪問。

我們執行剛才寫好的指令碼，1.php

可以看到成功讀取到了1.txt的檔案內容，逃脫了open_basedir的限制

問題的關鍵就在於

symlink("tmplink/../../1.txt","exploit");

此時tmplink還是一個符號連結檔案，它指向的路徑是c/d，因此exploit指向的路徑就變成了

c/d/../../1.txt

由於這個路徑在open_basedir的範圍之內所以exploit成功建立了。

之後我們刪除tmplink符號連結檔案再建立一個同名為tmplink的檔案夾，這時exploit所指向的路徑為

tmplink/../../

由於這時候tmplink變成了一個真實存在的檔案夾所以tmplink/../../變成了1.txt所在的目錄即/var/www/

然後再通過訪問符號連結檔案exploit即可直接讀取到1.txt的檔案內容

當然，針對symlink()只需要將它放入disable_function即可解決問題，所以我們需要尋求更多的方法。

0x03 glob偽協議

glob是php自5.3.0版本起開始生效的一個用來篩選目錄的偽協議，由於它在篩選目錄時是不受open_basedir的制約的，所以我們可以利用它來繞過限制，我們建立一個目錄在/var/www/下命名為test

並且在/var/www/html/下建立t.php內容為

<?php  $a = "glob:///var/www/test/*.txt";  if ( $b = opendir($a) ) {    while ( ($file = readdir($b)) !== false ) {      echo "filename:".$file."\n";    }    closedir($b);  }?>

執行結果

成功躲過open_basedir的限制讀取到了檔案。

以上就是本文的全部內容，希望對大家的學習有所協助，更多相關內容請關注topic.alibabacloud.com！