有国外的大佬近来公开了一个php open_basedir bypass的poc，正好最近在看php底层，所以计划剖析一下。
poc测验
首要测验一下:

咱们用如上源码进行测验，首要设置open_basedir目录为/tmp目录，再测验用ini_set设置open_basedir则无作用，咱们对根目录进队伍目录，发现无效，回来bool(false)。
咱们再测验一下该国外大佬的poc：

发现能够成功罗列根目录，bypass open_basedir。
那么为什么一系列操作后，就能够重设open_basedir了呢？咱们一步一步从头探究。
ini_set掩盖问题探究
为什么接连运用ini_set不会对open_basedir进行掩盖呢？咱们以如下代码为例:
运转后成果如下：
string(0) ""
string(4) "/tmp"
string(4) "/tmp"
string(4) "/tmp"
默许的open_basedir值本来是空，第一次设置成/tmp后，认为设置将不会掩盖。
咱们来探究一下原因。首要找到php函数对应的底层函数:
ini_get : PHP_FUNCTION(ini_get)
ini_set : PHP_FUNCTION(ini_set)
这儿咱们主要看的是ini_set的流程，ini_get作为信息输出函数，咱们不太关怀。
咱们先对ini_set下断点，然后再run程序：
b /php7.0-src/ext/standard/basic_functions.c 5350
r c.php
程序跑起来后，首要是3个初始值：
zend_string *varname;
zend_string *new_value;
char *old_value;
然后进入词法剖析，得到3个变量值：
if (zend_parse_parameters(ZEND_NUM_ARGS(), "SS", &varname, &new_value) == FAILURE) {
return;
}
咱们能够看到
pwndbg> p *varname
$45 = {
  gc = {
    refcount = 0,
    u = {
      v = {
        type = 6 '06',
        flags = 2 '02',
        gc_info = 0
      },
      type_info = 518
    }
  },
  h = 15582417252668088432,
  len = 12,
  val = "o"
}
这是zend_string的结构体,也是php7的新增结构:
struct _zend_string {
    zend_refcounted_h gc; /*gc信息*/
    zend_ulong        h;  /* hash value */
    size_t            len; /*字符串长度*/
    char              val[1]; /*字符串开端地址*/
};
咱们能够看到varname.val为:
pwndbg> p &varname.val
$46 = (char (*)[1]) 0x7ffff7064978
pwndbg> x/s $46
0x7ffff7064978:"open_basedir"
然后new_value.val为:
pwndbg> p &new_value.val
$48 = (char (*)[1]) 0x7ffff7058ad8
pwndbg> x/s $48
0x7ffff7058ad8:"/tmp"
即咱们最开端传入的两个参数。
然后程序拿到本来的open_basedir的value：


然后会进入php_ini_check_path：

因为第一次没有设置过open_basedir，所以直接跳出判别，进入下一步：
if (zend_alter_ini_entry_ex(varname, new_value, PHP_INI_USER, PHP_INI_STAGE_RUNTIME, 0) == FAILURE) {
zval_dtor(return_value);
RETURN_FALSE;
}
咱们跟进FAILURE，找到界说：
typedef enum {
  SUCCESS =  0,
  FAILURE = -1,/* this MUST stay a negative number, or it may affect functions! */
} ZEND_RESULT_CODE;
当zend_alter_ini_entry_ex的回来值不为-1时，即代表更新成功，不然则会进入if，回来false。
而通过比对发现:第一次设置open_basedir和第2次设置时分，正是这儿的回来值不一样，第一次设置时，这儿为SUCCESS，即0，而第2次设置为FAILURE，即-1，咱们跟入zend_alter_ini_entry_ex进行比对：
b /php7.0-src/Zend/zend_ini.c:330
发现两次不同的点在于如下判别：
if (!ini_entry->on_modify
|| ini_entry->on_modify(ini_entry, duplicate, ini_entry->mh_arg1, ini_entry->mh_arg2, ini_entry->mh_arg3, stage) == SUCCESS)
第一次时：
ini_entry->on_modify = 0x5d046e
ini_entry->on_modify(ini_entry, duplicate, ini_entry->mh_arg1, ini_entry->mh_arg2, ini_entry->mh_arg3, stage) = 0

[1] [2] [3]  黑客接单网