php设计缺陷导致绕过open_basedir列举目录#2

@/fd 曾在这篇帖子里 http://zone.wooyun.org/content/11268 给出了一些绕过open_basedir的方法。方法总体来说有一些鸡肋性，看客官如何理解了。

根据PHP的尿性，这个洞肯定忽略了，之后我也会整理一些类似的方法，公布出来。

@/fd的代码里对于列目录有两个方法，一是利用DirectoryIterator类，二是利用realpath函数。前者很好用，我就不多说了。单说下后者，realpath函数在处理已存在的文件（目录）与不存在的文件（目录）时情况不同，如果文件已存在则会抛出错误open_basedir restriction in effect. File(xxxxx) is not within the allowed path(s)，如果文件不存在则会返回false。

所以我们可以通过捕捉错误handle，来判断某文件是否存在。

我的第二个方法也类似。

php中有个bindtextdomain函数，看看文档：

为一个domain设置一个path，这个path就是一个文件名。

这个函数，在$directory存在的时候返回$directory，不存在则返回false。

测试代码：

1
2
3
4
5

<?php
printf('<b>open_basedir: %s</b><br />', ini_get('open_basedir'));
$re = bindtextdomain('xxx', $_GET['dir']);
var_dump($re);
?>

/etc/passwd存在，则返回它：

/etc/hehe不存在，则返回false:

所以同样，这个函数也能作为枚举目录的方式。

很不幸的是，这个函数似乎不支持windows，我在win下测试报错Call to undefined function bindtextdomain()……，而linux下似乎没有<>等好用的通配符？所以只能暴力枚举了。

暴力枚举方法见@/fd的代码：http://zone.wooyun.org/content/11268