php设计缺陷导致绕过open_basedir列举目录#1

@/fd 曾在这篇帖子里 http://zone.wooyun.org/content/11268 给出了一些绕过open_basedir的方法。方法总体来说有一些鸡肋性，看客官如何理解了。

根据PHP的尿性，这个洞肯定忽略了，之后我也会整理一些类似的方法，公布出来。

@/fd 的代码里对于列目录有两个方法，一是利用DirectoryIterator类，二是利用realpath函数。前者很好用，我就不多说了。单说下后者，realpath函数在处理已存在的文件（目录）与不存在的文件（目录）时情况不同，如果文件已存在则会抛出错误open_basedir restriction in effect. File(xxxxx) is not within the allowed path(s)，如果文件不存在则会返回false。

所以我们可以通过捕捉错误handle，来判断某文件是否存在。

我的方法类似。

php中有一个SplFileInfo类，其中存在一个方法getRealPath，作用和realpath函数类似，是获取规范化绝对路径名的：

这个函数在文件存在的时候会返回文件名，不存在的时候返回false。

测试代码如下：

1
2
3
4
5

<?php
echo '<b>open_basedir: ' . ini_get('open_basedir') . '</b><br />';
$info = new SplFileInfo($_GET['dir']);
var_dump($info->getRealPath());
?>

传入/etc/passwd，发现返回文件名，说明该文件存在：

传入/etc/wooyun，这是一个不存在的文件，则返回了false：

这一切判断都是在open_basedir外做出的，所以我们成功绕过open_basedir对目录进行了勘测。

我们可以用这个函数，做一个文件名暴力枚举器。

这个方法在windows下特别好用。众所周知，windows下文件名有一些通配符：

code 区域`双引号(“>”) <==> 点号(“.”)’;

大于符号(“>”) <==> 问号(“?”)’;

小于符号(“<”) <==> 星号(“*”)’;`

通过这些通配符，可以减少咱们枚举时99.99%的压力，只需要循环一遍a-z0-9即可基本枚举出所有文件名是他们开头的文件(当然如果头字母都相同则需要枚举一下后面的字母)。

POC在测试代码中。

首先D:/test/下有如下文件：

执行poc，列出目录：