php设计缺陷导致绕过open_basedir列举目录#1

@/fd 曾在这篇帖子里 http://zone.wooyun.org/content/11268 给出了一些绕过open_basedir的方法。方法总体来说有一些鸡肋性,看客官如何理解了。

根据PHP的尿性,这个洞肯定忽略了,之后我也会整理一些类似的方法,公布出来。

@/fd 的代码里对于列目录有两个方法,一是利用DirectoryIterator类,二是利用realpath函数。前者很好用,我就不多说了。单说下后者,realpath函数在处理已存在的文件(目录)与不存在的文件(目录)时情况不同,如果文件已存在则会抛出错误open_basedir restriction in effect. File(xxxxx) is not within the allowed path(s),如果文件不存在则会返回false。

所以我们可以通过捕捉错误handle,来判断某文件是否存在。

我的方法类似。

php中有一个SplFileInfo类,其中存在一个方法getRealPath,作用和realpath函数类似,是获取规范化绝对路径名的:

001.jpg

这个函数在文件存在的时候会返回文件名,不存在的时候返回false。

测试代码如下:

1
2
3
4
5
<?php
echo '<b>open_basedir: ' . ini_get('open_basedir') . '</b><br />';
$info = new SplFileInfo($_GET['dir']);
var_dump($info->getRealPath());
?>

传入/etc/passwd,发现返回文件名,说明该文件存在:

002.jpg

传入/etc/wooyun,这是一个不存在的文件,则返回了false:

003.jpg

这一切判断都是在open_basedir外做出的,所以我们成功绕过open_basedir对目录进行了勘测。

我们可以用这个函数,做一个文件名暴力枚举器。

这个方法在windows下特别好用。众所周知,windows下文件名有一些通配符:

code 区域`双引号(“>”) <==> 点号(“.”)’;

大于符号(“>”) <==> 问号(“?”)’;

小于符号(“<”) <==> 星号(“*”)’;`

通过这些通配符,可以减少咱们枚举时99.99%的压力,只需要循环一遍a-z0-9即可基本枚举出所有文件名是他们开头的文件(当然如果头字母都相同则需要枚举一下后面的字母)。

POC在测试代码中。

首先D:/test/下有如下文件:

004.jpg

执行poc,列出目录:

005.jpg