目录
- 8.9 文件截断绕过攻击
- 8.10 文件截断绕过代码分析
8.9 文件截断绕过攻击
截断类型:PHP%00截断。
截断原理:由于00代表结束符,所以会把00后面的所有字符删掉。
截断条件:PHP版本小于5.3.4,PHP的magic_quotes_gpc为OFF状态。
如图98所示,在上传文件时,服务端将POST参数jieduan的内容作为上传后文件名的第一部分,然后将按时间生成的图片文件名作为上传后文件名的第二部分。
修改参数jieduan为1.php%00.jpg,文件被保存到服务器时,%00会把“.jpg”和按时间生成的图片文件名全部截断,那么文件就剩下1.php,因此成功上传了WebShell脚本,如图99所示。
图99 利用截断上传WebShell
8.10 文件截断绕过代码分析
服务端处理上传文件的代码如下所示,程序使用substr获取文件的后缀,然后判断后缀是否是flv、swf、mp3、mp4、3gp、zip、rar、gif、jpg、png、bmp中的一种,如果不是,则不允许上传该文件。但是在保存的路径中有$_REQUEST[‘jieduan’],那么此处可以利用00截断尝试绕过服务端限制。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26<?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); $ext_arr = array('flv','swf','mp3','mp4','3gp','zip','rar','gif','jpg','png','bmp'); $file_ext = substr($_FILES['file']['name'],strrpos($_FILES['file']['name'],".")+1); //exit($_FILES['file']['name']); if(in_array($file_ext,$ext_arr)) { $tempFile = $_FILES['file']['tmp_name']; // 这句话的$_REQUEST['jieduan']造成可以利用截断上传 $targetPath = "upload/".$_REQUEST['jieduan'].rand(10, 99).date("YmdHis").".".$file_ext; if(move_uploaded_file($tempFile,$targetPath)) { echo '上传成功'.'<br>'; echo '路径:'.$targetPath; } else { echo("上传失败"); } } else { echo("不允许的后缀"); } ?>
在多数情况下,截断绕过都是用在文件名后面加上HEX形式的%00来测试,例如filename=‘1.php%00.jpg’,但是由于在php中,$_FILES[‘file’][‘name’]在得到文件名时,%00之后的内容已经被截断,所以$_FILES[‘file’][‘name’]得到的后缀是php,而不是php%00.jpg,因而此时不能通过if(in_array($file_ext,$ext_arr))的检查,如图100和图101所示。
图100 修改文件名
图101 HEX形式的%00
最后
以上就是顺利路灯最近收集整理的关于Web安全原理剖析(二十五)——文件截断绕过攻击的全部内容,更多相关Web安全原理剖析(二十五)——文件截断绕过攻击内容请搜索靠谱客的其他文章。
发表评论 取消回复