PHP를 통해 파일 운영에 대한 open_basedir 제한을 우회하는 방법

이 기사에서는 PHP가 파일 운영에 대한 open_basedir 제한을 우회하는 세 가지 방법과 관련 기술을 공유합니다. 관심 있는 친구는 여기서 배울 수 있습니다.

0x00 사전 지식

open_basedir에 대하여

open_basedir은 php.ini의 구성 옵션입니다

파일에 대한 사용자 액세스 범위를 지정된 영역으로 제한할 수 있습니다.

open_basedir=/home/wwwroot /를 가정합니다. home/web1/:/tmp/이면 web1을 통해 서버에 액세스하는 사용자는 /home/wwwroot/home/web1/ 및 /tmp/ 두 디렉터리를 제외하고 서버에서 파일을 얻을 수 없습니다.

open_basedir로 지정된 제한은 실제로 디렉터리 이름이 아니라 접두사입니다.

예: "open_basedir = /dir/user"인 경우 "/dir/user" 및 "/dir/user1" 디렉터리에 액세스할 수 있습니다. 따라서 지정된 디렉토리에만 액세스를 제한하려면 경로 이름을 슬래시로 끝내십시오.

심볼릭 링크 정보

소프트 링크라고도 하는 심볼릭 링크는 다른 파일의 경로 이름(절대 경로 또는 상대 경로)을 포함하는 특수한 유형의 파일입니다.

경로는 어떤 파일이나 디렉터리도 될 수 있으며, 다른 파일 시스템의 파일을 연결할 수도 있습니다. 심볼 파일을 읽거나 쓸 때 시스템은 해당 작업을 소스 파일에 대한 작업으로 자동 변환합니다. 그러나 링크된 파일을 삭제하면 시스템은 링크된 파일만 삭제하고 소스 파일 자체는 삭제하지 않습니다.

0x01 명령 실행 기능

시스템 등의 명령 실행 기능에서는 open_basedir의 설정이 유효하지 않기 때문에 명령 실행 기능을 이용하여 제한된 디렉터리에 접근할 수 있습니다.

먼저

/home/puret/test/

디렉터리를 만들고 이 디렉터리에 abc

nano 1.txt

콘텐츠로 새 1.txt를 만든 다음 새 디렉터리를 만듭니다. 이 디렉토리에서 디렉토리 이름은 b

mkdir b

이고 이 디렉토리에

<?php
  echo file_get_contents("../1.txt");
?>

내용으로 1.php 파일을 생성하고 php.ini

open_basedir에 open_basedir을 설정합니다. /home /puret/test/b/

open_basedir이 액세스를 제한하는지 확인하기 위해 1.php를 실행하려고 합니다

실행 효과는 그림과 같습니다

분명히 디렉토리를 직접 읽을 수는 없습니다. open_basedir 문서에 지정된 것 이외의 것.

다음으로 시스템 기능을 사용하여 open_basedir의 제한 사항을 우회하여 1.txt

1.php를

<?php
 system("rm -rf ../1.txt");
?>

로 편집합니다. 먼저 실행 전 파일 상황을 살펴보겠습니다. 1.php

1.php

실행 후 open_basedir를 우회하여 명령 실행 기능을 통해 파일을 삭제하는데 성공했습니다.
명령 실행 기능은 일반적으로 비활성화_기능으로 제한되므로 제한을 우회할 수 있는 다른 방법을 찾아야 합니다.

0x02 심볼릭 링크() 함수

먼저 심볼릭 링크 함수를 이해해 봅시다

bool 심볼릭 링크( string $target , string $link )

심볼릭 링크 함수는 대상을 가리키는 link라는 심볼릭 링크를 설정합니다. 물론 일반적인 상황에서는 이 대상이 open_basedir로 제한됩니다.
초기 심볼릭링크는 윈도우를 지원하지 않아서 테스트 환경을 리눅스에 두었습니다.

테스트한 PHP 버전은 5.3.0입니다. 다른 버전도 직접 테스트해 보세요.

Linux 환경에서는 디렉토리 전반에 걸쳐 파일을 작동할 수 있는 심볼릭 링크를 통해 일부 논리적 우회를 완료할 수 있습니다.

먼저 /var/www/html/1.php의 1.php 내용을

<?php
  mkdir("c");
  chdir("c");
  mkdir("d");
  chdir("d");
  chdir("..");
  chdir("..");
  symlink("c/d","tmplink");
  symlink("tmplink/../../1.txt","exploit");
  unlink("tmplink");
  mkdir("tmplink");
  echo file_put_contents("http://127.0.0.1/exploit");
?>

로 편집한 다음 /var/www/에

내용으로 새 1.txt 파일을 만듭니다.

"abc"

open_basedir을 설정합시다

open_basedir = /var/www/html/

html 디렉토리에 있는 PHP 스크립트를 편집하여 open_basedir

<?php
   file_get_contents("../1.txt");
?>

실행해 보세요.

예상대로 파일에 접근할 수 없습니다.

방금 작성한 스크립트 1.php를 실행합니다

open_basedir

문제의 핵심은 1.txt의 파일 내용이 성공적으로 읽혀진 것을 볼 수 있습니다.

symlink ("tmplink/../../1.txt","exploit");

현재 tmplink는 여전히 심볼릭 링크 파일이고, 가리키는 경로는 c/d이고, 따라서 Exploit이 가리키는 경로는

c/d/../../1.txt

이 경로가 open_basedir 범위 내에 있으므로 Exploit이 성공적으로 수행된 것입니다.

이후 tmplink 심볼릭 링크 파일을 삭제하고 tmplink와 동일한 이름의 새 폴더를 생성합니다. 이때 익스플로잇이 가리키는 경로는

입니다.

tmplink/../../

由于这时候tmplink变成了一个真实存在的文件夹所以tmplink/../../变成了1.txt所在的目录即/var/www/

然后再通过访问符号链接文件exploit即可直接读取到1.txt的文件内容

当然，针对symlink()只需要将它放入disable_function即可解决问题，所以我们需要寻求更多的方法。

0x03 glob伪协议

glob是php自5.3.0版本起开始生效的一个用来筛选目录的伪协议，由于它在筛选目录时是不受open_basedir的制约的，所以我们可以利用它来绕过限制，我们新建一个目录在/var/www/下命名为test

并且在/var/www/html/下新建t.php内容为

<?php
  $a = "glob:///var/www/test/*.txt";
  if ( $b = opendir($a) ) {
    while ( ($file = readdir($b)) !== false ) {
      echo "filename:".$file."\n";
    }
    closedir($b);
  }
?>

执行结果如图：

成功躲过open_basedir的限制读取到了文件。

以上就是本文的全部内容，希望对大家的学习有所帮助，更多相关内容请关注PHP中文网！

相关推荐：

关于ThinkPHP中Common/common.php文件常用函数的功能分析

PHP 中TP5 Request的请求对象

PHP的Cannot use object of type stdClass as array in错误的解决办法

위 내용은 PHP를 통해 파일 운영에 대한 open_basedir 제한을 우회하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!