8.9 文件截断绕过攻击
截断类型:PHP%00截断。
截断原理:由于00代表结束符,所以会把00后面的所有字符删掉。
截断条件:PHP版本小于5.3.4,PHP的magic_quotes_gpc为OFF状态。
如图98所示,在上传文件时,服务端将POST参数jieduan的内容作为上传后文件名的第一部分,然后将按时间生成的图片文件名作为上传后文件名的第二部分。
修改参数jieduan为1.php%00.jpg,文件被保存到服务器时,%00会把“.jpg”和按时间生成的图片文件名全部截断,那么文件就剩下1.php,因此成功上传了WebShell脚本,如图99所示。
图99 利用截断上传WebShell
8.10 文件截断绕过代码分析
服务端处理上传文件的代码如下所示,程序使用substr获取文件的后缀,然后判断后缀是否是flv、swf、mp3、mp4、3gp、zip、rar、gif、jpg、png、bmp中的一种,如果不是,则不允许上传该文件。但是在保存的路径中有$_REQUEST[‘jieduan’],那么此处可以利用00截断尝试绕过服务端限制。
<?php header('Content-type:text/html;charset=utf-8');
error_reporting(0);
$ext_arr = array('flv','swf','mp3','mp4','3gp','zip','rar','gif','jpg','png','bmp');
$file_ext = substr($_FILES['file']['name'],strrpos($_FILES['file']['name'],".")+1);
//exit($_FILES['file']['name']);
if(in_array($file_ext,$ext_arr))
{
$tempFile = $_FILES['file']['tmp_name'];
// 这句话的$_REQUEST['jieduan']造成可以利用截断上传
$targetPath = "upload/".$_REQUEST['jieduan'].rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($tempFile,$targetPath))
{
echo '上传成功'.'<br>';
echo '路径:'.$targetPath;
}
else
{
echo("上传失败");
}
}
else
{
echo("不允许的后缀");
}
?>
在多数情况下,截断绕过都是用在文件名后面加上HEX形式的%00来测试,例如filename=‘1.php%00.jpg’,但是由于在php中,$_FILES[‘file’][‘name’]在得到文件名时,%00之后的内容已经被截断,所以$_FILES[‘file’][‘name’]得到的后缀是php,而不是php%00.jpg,因而此时不能通过if(in_array($file_ext,$ext_arr))的检查,如图100和图101所示。
图100 修改文件名
图101 HEX形式的%00
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
