从PHP底层看open_basedir bypass

访客5年前黑客工具622


有国外的大佬近来公开了一个php open_basedir bypass的poc,正好最近在看php底层,所以计划剖析一下。
poc测验
首要测验一下:

咱们用如上源码进行测验,首要设置open_basedir目录为/tmp目录,再测验用ini_set设置open_basedir则无作用,咱们对根目录进队伍目录,发现无效,回来bool(false)。
咱们再测验一下该国外大佬的poc:

发现能够成功罗列根目录,bypass open_basedir。
那么为什么一系列操作后,就能够重设open_basedir了呢?咱们一步一步从头探究。
ini_set掩盖问题探究
为什么接连运用ini_set不会对open_basedir进行掩盖呢?咱们以如下代码为例:
运转后成果如下:
string(0) ""
string(4) "/tmp"
string(4) "/tmp"
string(4) "/tmp"
默许的open_basedir值本来是空,之一次设置成/tmp后,认为设置将不会掩盖。
咱们来探究一下原因。首要找到php函数对应的底层函数:
ini_get : PHP_FUNCTION(ini_get)
ini_set : PHP_FUNCTION(ini_set)
这儿咱们主要看的是ini_set的流程,ini_get作为信息输出函数,咱们不太关怀。
咱们先对ini_set下断点,然后再run程序:
b /php7.0-src/ext/standard/basic_functions.c 5350
r c.php
程序跑起来后,首要是3个初始值:
zend_string *varname;
zend_string *new_value;
char *old_value;
然后进入词法剖析,得到3个变量值:
if (zend_parse_parameters(ZEND_NUM_ARGS(), "SS", &varname, &new_value) == FAILURE) {
return;
}
咱们能够看到
pwndbg> p *varname
$45 = {
  gc = {
    refcount = 0,
    u = {
      v = {
        type = 6 '06',
        flags = 2 '02',
        gc_info = 0
      },
      type_info = 518
    }
  },
  h = 15582417252668088432,
  len = 12,
  val = "o"
}
这是zend_string的结构体,也是php7的新增结构:
struct _zend_string {
    zend_refcounted_h gc; /*gc信息*/
    zend_ulong        h;  /* hash value */
    size_t            len; /*字符串长度*/
    char              val[1]; /*字符串开端地址*/
};
咱们能够看到varname.val为:
pwndbg> p &varname.val
$46 = (char (*)[1]) 0x7ffff7064978
pwndbg> x/s $46
0x7ffff7064978:"open_basedir"
然后new_value.val为:
pwndbg> p &new_value.val
$48 = (char (*)[1]) 0x7ffff7058ad8
pwndbg> x/s $48
0x7ffff7058ad8:"/tmp"
即咱们最开端传入的两个参数。
然后程序拿到本来的open_basedir的value:


然后会进入php_ini_check_path:

因为之一次没有设置过open_basedir,所以直接跳出判别,进入下一步:
if (zend_alter_ini_entry_ex(varname, new_value, PHP_INI_USER, PHP_INI_STAGE_RUNTIME, 0) == FAILURE) {
zval_dtor(return_value);
RETURN_FALSE;
}
咱们跟进FAILURE,找到界说:
typedef enum {
  SUCCESS =  0,
  FAILURE = -1,/* this MUST stay a negative number, or it may affect functions! */
} ZEND_RESULT_CODE;
当zend_alter_ini_entry_ex的回来值不为-1时,即代表更新成功,不然则会进入if,回来false。
而通过比对发现:之一次设置open_basedir和第2次设置时分,正是这儿的回来值不一样,之一次设置时,这儿为SUCCESS,即0,而第2次设置为FAILURE,即-1,咱们跟入zend_alter_ini_entry_ex进行比对:
b /php7.0-src/Zend/zend_ini.c:330
发现两次不同的点在于如下判别:
if (!ini_entry->on_modify
|| ini_entry->on_modify(ini_entry, duplicate, ini_entry->mh_arg1, ini_entry->mh_arg2, ini_entry->mh_arg3, stage) == SUCCESS)
之一次时:
ini_entry->on_modify = 0x5d046e
ini_entry->on_modify(ini_entry, duplicate, ini_entry->mh_arg1, ini_entry->mh_arg2, ini_entry->mh_arg3, stage) = 0

[1] [2] [3]  黑客接单网

相关文章

赌博案已经补充两次了又被检察院腿回来了是不是

test.local验证过程:参考及来源:bash buildalllinux.sh debug赌博案已经补充两次了又被检察院腿回来了是不是, 影响范围public class UploadServl...

如何同步接收别人微信_如何联系一名黑客-找黑客帮忙把钱要回来

「如何同步接收别人微信_如何联系一名黑客-找黑客帮忙把钱要回来」尽管比较繁琐,可是比较联合查询更有用。 记下来仍是能用到的。 翻开菜刀,右键空白处,挑选 [增加];MS的一些言语,例如C#、VB、F#...

泉港黑客接单,黑客联系微信,找黑客看丢失手机内容

首要,找到你方才JDK的装置目录,例如,本文中,我电脑的JDK方才装置在C:Program FilesJavajdk1.8.0_40目录下:0x01 运转 </form>db="data...

我可是个爱赌博的人,最近这段时间老是输,可心里

商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块复现环境不支持的系统包括Windows 2003和Windows XP,如果你使用的是不支持的版本,则解决此漏洞的最佳方法是升...

能接单的黑客qq_找黑客做软件下载-找黑客改社保

「能接单的黑客qq_找黑客做软件下载-找黑客改社保」然后咱们来判别指定列名的内容长度,也便是admin列的内容长度。 看下图:exec 9>&-初度运用,咱们需在终端下输入讯飞语音输入...

黑客网站,从哪找黑客盗微信号,游戏损友圈咋样找黑客黑了你

商城侵略:http://jj.acfun.tv存在文件包括缝隙echo "The Quick Brown Fox Jumps Over The Lazy Dog" | tr 'A-Za-z' 'N-Z...