php设计缺陷导致绕过open_basedir列举目录#1

2015年8月11日16:45:44评论338 views字数 230阅读0分46秒阅读模式

摘要

2014-11-16：细节已通知厂商并且等待厂商处理中
1970-01-01：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
1970-02-25：细节向核心白帽子及相关领域专家公开
1970-03-07：细节向普通白帽子公开
1970-03-17：细节向实习白帽子公开
2014-11-21：细节向公众公开

漏洞概要关注数(29) 关注此漏洞

缺陷编号： WooYun-2014-83453

漏洞标题： php设计缺陷导致绕过open_basedir列举目录#1

漏洞作者： phith0n

提交时间： 2014-11-16 10:00

公开时间： 2014-11-21 10:02

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：逻辑错误

11人收藏

漏洞详情

披露状态：

简要描述：

@/fd 曾在这篇帖子里 http://zone.wooyun.org/content/11268 给出了一些绕过open_basedir的方法。方法总体来说有一些鸡肋性，看客官如何理解了。
根据PHP的尿性，这个洞肯定忽略了，之后我也会整理一些类似的方法，公布出来。

详细说明：

@fd的代码里对于列目录有两个方法，一是利用DirectoryIterator类，二是利用realpath函数。前者很好用，我就不多说了。单说下后者，realpath函数在处理已存在的文件（目录）与不存在的文件（目录）时情况不同，如果文件已存在则会抛出错误:open_basedir restriction in effect. File(xxxxx) is not within the allowed path(s)，如果文件不存在则会返回false。

所以我们可以通过捕捉错误handle，来判断某文件是否存在。

我的方法类似。

php中有一个SplFileInfo类，其中存在一个方法getRealPath，作用和realpath函数类似，是获取规范化绝对路径名的：

这个函数在文件存在的时候会返回文件名，不存在的时候返回false。

测试代码如下：

code 区域

<?php
 echo '<b>open_basedir: ' . ini_get('open_basedir') . '</b><br />';
 $info = new SplFileInfo($_GET['dir']);
 var_dump($info->getRealPath());
 ?>

传入/etc/passwd，发现返回文件名，说明该文件存在：

传入/etc/wooyun，这是一个不存在的文件，则返回了false：

这一切判断都是在open_basedir外做出的，所以我们成功绕过open_basedir对目录进行了勘测。

漏洞证明：

我们可以用这个函数，做一个文件名暴力枚举器。

这个方法在windows下特别好用。众所周知，windows下文件名有一些通配符：

code 区域

双引号(">") <==> 点号(".")';
 大于符号(">") <==> 问号("?")';
 小于符号("<") <==> 星号("*")';

通过这些通配符，可以减少咱们枚举时99.99%的压力，只需要循环一遍a-z0-9即可基本枚举出所有文件名是他们开头的文件(当然如果头字母都相同则需要枚举一下后面的字母)。

POC在测试代码中。

首先D:/test/下有如下文件：

执行poc，列出目录：

修复方案：

文件存在、不存在，只要在open_basedir外就都应该抛出错误。

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-11-21 10:02

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-11-16 10:12 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

3

前排mark

1# 回复此人
2014-11-16 10:38 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

2

干嘛不提交到国外的漏洞平台上呢，有美金可以拿啊

2# 回复此人
2014-11-16 13:49 | phith0n ( 普通白帽子 | Rank:834 漏洞数:127 | 一个想当文人的黑客~)

2

@贫道来自河北钱乃身外之物。交乌云省事，美刀我驾驭不来~

3# 回复此人
2014-11-16 19:29 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

1

@phith0n @贫道来自河北乌云大伙可以看，河北别这么现实

4# 回复此人
2014-11-21 12:23 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

3

@px1624 你是大牛，一天赚的比我一个月都多，当然可以这么不在乎妈尼了

5# 回复此人
2014-12-02 14:22 | jhdxr ( 路人 | Rank:3 漏洞数:2 | 这家伙很懒，所以。。。)

2

safemode 5.3开始就DEPRECATED了，现在都移除了吧。。。

6# 回复此人
2014-12-02 14:58 | phith0n ( 普通白帽子 | Rank:834 漏洞数:127 | 一个想当文人的黑客~)

2

@jhdxr ……你补习一下什么是safe_mode，什么是open_basedir吧。

7# 回复此人
2014-12-02 23:15 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

2

为什么1970年？

8# 回复此人
2014-12-13 13:22 | M4ster ( 实习白帽子 | Rank:39 漏洞数:7 | )

1

@xsser 1970-01-01：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放

9# 回复此人

漏洞概要 关注数(29) 关注此漏洞