文件名截断漏洞原理分析

最新推荐文章于 2024-01-27 10:46:46 发布
原创 最新推荐文章于 2024-01-27 10:46:46 发布 · 4.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨文件名截断漏洞,通过三个具体的例子展示攻击者如何利用这种漏洞读取非PHP文件内容。举例说明了%00、英文句号和反斜杠、问号截断三种方式,并指出这些方法在不同PHP版本中的可行性。

文件名截断漏洞原理分析

By HelloWeb 2017-3-7

如下的PHP程序中(例子1),存在文件名被操控的漏洞,其代码如下:
<?php
 $name=$_GET['name'];
 $filename=$name.'.php';
 include $filename;
?>
例子1:文件名被操控的PHP程序

例子1的基本程序逻辑就是通过用户输入的文件名还包含对应文件后缀为PHP的文件,如果在文件当前目录下包含一个PHP文件为a.php,代码如下:

<?php
   print("OK! The right file.<br>");
?>


同时,在该目录下还包含一个文件名为secret.txt文件,其中包含的信息如下:This is a secret file.

根据例子1的程序逻辑,如果输入URL:http://127.0.0.1/test/t1.php?name=a,则输出结果为:OK!The right file.

对于攻击者而言,当前想通过该漏洞来读取secret.txt中的信息,但是该文件不是PHP程序,要想达到目标,就要利用文件名字截断漏洞了。

第一种方式:%00

%00表示字符串结尾,如果变量$name的最后是%00,那么变量$filename中的”.php”将被截断。

如果输入URL:127.0.0.1/test/t1.php?name=secret.txt%00,则输入结果为:Thisis a secret file.显然,文件内容读出来了。攻击者控制了所有输入的文件,不再受到后缀”.php”的影响了。

当然,%00截断方式只能在PHP5.3以前,并且GPC关闭的情况下才能够成功。本例在PHP5.2.17版本上测试通过。

第二种方式:英文句号和反斜杠截断

在windows7系统下,长于226个英文句号会出现截断效果,测试代码如下: 

<?php
$name=$_GET['name'];
$str='';
for($i=0;$i<=226;$i++)
{
 $str.='.';
}
$name=$name.$str;
$filename=$name.'.php';
include $filename;
?>

同样可以测试句号加斜杠的情况,在Windows7环境下句号加斜杠组合为113组。

注意:这种方式在PHP5.3以后的版本中都已经得到了修复。本用例在PHP5.2.17版本上测试通过。

第三中方式:问号截断(?)

问号截断漏洞是针对远程文件包含的情况。在PHP的配置文件中,打开远程文件包含许可,即“allow_url_include = On”。

测试代码如下: 

<?php
$name=$_GET['name'];
$filename=$name.'.php';
include $filename;
?>

当输入的文件名包含URL时,问号截断则会发生,并且这个利用方式不受PHP版本限制,原因是Web服务其会将问号看成一个请求参数。

测试POC:http://127.0.0.1/test/t1.php?name=http://127.0.0.1/test/secret.txt?,则会打开secret.txt中的文件内容。本测试用例在PHP5.5.38版本上测试通过。

HelloWeb2014
关注
Nginx 文件名逻辑漏洞(CVE-2013-4547)
weixin_45534587的博客
01-05 1231
CGI:是一种协议,定义了web服务器传递的数据格式。FastCGI:优化版的CGI程序PHP-CGI:PHP解释器,能够对PHP文件进行解析并返回相应的解析结果PHP-FPM:FastCGI进程管理程序当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。
Nginx文件名逻辑漏洞(CVE-2013-4547)复现
君莫hacker的博客
09-20 3014
目录0x01 漏洞介绍0x02 环境部署:0x03 漏洞复现1. 成功访问主页2. 上传php文件3. 上传gif文件4.修改后缀,增加截断5. 访问成功6. 上传木马文件7. 修改后缀8. 命令执行成功 0x01 漏洞介绍 漏洞描述 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。这是一个nginx解析漏洞漏洞编号 CVE-2013-4547 受影响版本 Nginx 0.8.41~1.4.3 Ng
自动截断文件名(保留文件后缀)
03-28
需要。net 2.0及以上支持。 功能: 自动截断文件名(保留文件后缀) 可选长度 自动搜索子目录
00截断 java_Java写文件时文件名00截断BUG导致的文件上传漏洞及修复
weixin_32344641的博客
02-22 534
Java在上面两种环境写文件时,会因为00截断而无法正确为新生成的文件命名。比如用户需要的用户名abc.jsp .jpg,但经过00截断后,生成的文件的名称变为abc.jsp , 因此我们在涉及到上传的文件名没更改名称或者可自定义目录的时候加以利用测试环境:1.windows7(x64)+tomcat7+jdk1.62.Linux3.0(ubuntu11.10)(x86)+tomcat7+jdk1...
【文件上传漏洞07】文件截断绕过攻击实验(基于upload-labs-11、12靶场)
Fighting_hawk的博客
03-04 3290
1. 思路:先寻找一切可以突围绕过的机会让文件上传,再寻找机会让文件能够被执行。 2. 掌握00阶段上传文件的方法,同方法同样有可能适用于文件下载的情况。
截断漏洞
ChenZIDu的博客
09-22 657
例题 CG-CTF 点进去是 阅读代码,ereg( ,)(正则表达式匹配) strpos( ,)(寻找里面的字符) 第一个if()告诉我们如果不是输入1-9以内的数就执行 输出“必须输入数字才行” 然后else if 如果nctf 有#biubiubiu 输出flag 否则输出“骚年,继续努力吧啊” 第一个方法 因为 ereg( ) 和 strpos( ) 中如果时数组的话返回NULL ...
截取文件名
think12的专栏
04-02 649
<br />工具函数。<br />截取文件名<br /><br /> TBuf<5> bMid;<br /> bMid.Append(_L("//"));<br /> TBuf<128> bName;<br /> TBuf<256> bValue;<br /> bValue.Append(_L("C:/Data/Mech_Local/pic/20110402162525_116.410658_39.989842_2000.jpg"));<br /> TPtrC ptrSting(bValue);
浅谈web上存漏洞原理分析、防范方法(文件名检测漏洞
10-27
文件名检测漏洞是Web上存漏洞中的一种,主要由于文件名处理不当导致攻击者可以上传不安全的文件。 在Web开发中,通常会对上传的文件类型进行检测,以保证上传的文件安全。比如,如果应用只允许图片类型的文件上传,...
IIS短文件名漏洞复现图文详解
09-29
具体的漏洞原理如下: 1. 短文件名通常显示前六个字符,后续字符用“~1”代替,并且数字1是可以递增的。如果存在多个文件名相似的文件,它们的前六个字符相同,后缀的数字递增。 2. 文件的后缀名如果超过3位,就会...
IIS短文件名漏洞利用工具
11-07
每个长文件名都可以有一个对应的8.3格式的短文件名,形式通常是“目录名~1.FIL”,其中“目录名”是长文件名的前6个字符,“~1”表示这是同一目录下第一个被截断的文件,“FIL”则是文件扩展名的前三个字符。...
%00截断漏洞
weixin_30326515的博客
12-13 253
http://blog.youkuaiyun.com/hitwangpeng/article/details/47042971 http://www.2cto.com/article/201502/377462.html http://www.2cto.com/article/201110/108975.html 转载于:https://www.cnblogs.com/qmfsun/p/6170173.h...
upload-labs_pass12_文件名截断_URL要编码为%00_pass13_文件名截断_Hex修改为00
qq_51550750的博客
04-11 491
关于靶场说几点:单纯用phpstudy 可能无法复现所有的漏洞,而且phpstudy中的php可能是线程不安全的,所以建议大家在自己本机或者虚拟机的中亲自搭建一下apache和php的环境,便于复现upload-labs的所有靶场环境。配置有问题的可以参考我写的这篇文章: https://blog.youkuaiyun.com/qq_51550750/article/details/124062273 pass12-环境说明: 这一关啊真是奇葩,试了一圈,只有php版本是下面这个才成功:5.5.9nts 如果你也没有
php上传文件名截断,PHP上传带有单引号文件名的文件导致文件名截断的bug
weixin_34212192的博客
03-10 435
新发现一个PHP的文件上传bug,bug描述如下:触发条件:PHP版本 < 5.3PHP魔法引用开启如果你上传一个叫做lalalala'gagaga.txt的文件,那么在服务器端接收到的时候,文件名就会从引号处被截断,名字变成gagaga.txt$_FILES数组测试参数如下图:bug分析:导致这个问题的原因是由于魔法引用功能转义单引号触发,如果默认路径是c:\tmp\lalalala'ga...
『Java CVE』CVE-2022-34169: Xalan-J XSLT整数截断漏洞PoC结构再浅析
Ho1aAs‘s Blog
09-24 3002
class文件常量池最大只有`0xFFFF`(65535),当写入常量数量n>0xFFFF时:正常写入常量池是`n & 0xFFFF`个,被截断,后续多余的将会溢出、覆盖正常class文件的内容,首当其冲的是`access_flag`参数。如果写入65536个常量,那么常量池表就为空(0x10000 & 0xFFFF = 0);如果写入65537个常量,此时常量表为1...以此类推,后面溢出的常量就覆盖了class文件。
文件包含漏洞长度截断
W286734的博客
01-27 1013
当一个文件包含,后拼接了一个后缀时,都会在我们的伪协议后加上拼接的后缀,往往这个后缀就会导致我们访问失败,如何绕过?可以尝试00截断,也可以尝试我们接下来叙述的长度截断
第七周 | 再见上传(截断上传漏洞简单原理
qq_29566629的博客
02-10 1054
一直没学过截断上传的原理,今天借着一道CTF题目学习一下。 题目如下: 前面就是常规试探,修改filename的后缀,但是不行,这个时候就要考虑是否存在截断漏洞。 抓包: 可以看到,要求上传php文件。 截断漏洞原理可以参考如下: 截断的核心在于chr(0)这个字符,这个函数表示返回以数值表达式值为编码的字符,举个例,print chr(78) 结果是N,所以char(0)表示的ascll字符是null,当程序输出包含chr(0)变量时,chr(0)后面的数据会被截断,后面的数据直接忽略,导致漏洞
【复习】文件包含_02_截断
qq_45300786的博客
05-22 1116
文件包含截断 1、00截断法 00字符截断(php<5.3.4) (需要 magic_quotes_gpc=off) /etc/passwd /etc/passwd%00 http://include.hahahaha.com/file02.php?file=x.jpg%00 2、超长文件截断 (php版本小于5.2.8 可以成功,linux需要文件名长于4096,windows需要长于256) 利用操作系统对目录最大长度限制。 在window下256字节 linux下4096字节 截断的字符有“.
windows批处理之五-for语句中的文件名截取
11-29 636
看以下案例:@echo offfor /d %%i in ("D:\my document\mysave\mysave1.txt""D:\my document\mysave\mysave2.jpg""D:\...
php截断,php include 路径截断漏洞的利用
weixin_42611177的博客
03-10 1087
php 的include结构可以用于包含并运行指定文件,不过文件的路径在一些情况下会被截断,比如路径中包含ascii值为0的字符。先上一段演示代码:$s=$_GET['s'];$path = "demo/$s/";include($path."style.css");?>这是很普通的一段代码,根据用户输入的$s值,包含demo目录下的$s目录下的style.css文件(O(∩_∩)O,示例代...
文件上传漏洞%00截断绕过原理
最新发布
08-26
文件上传漏洞中的%00截断绕过(也称为文件包含注入或路径遍历),是一种常见的安全漏洞,通常发生在允许用户上传文件的应用程序中。当应用程序处理用户上传的文件名或路径时,如果对输入数据的验证不足,恶意用户可能会利用%00(也被称为空字节)字符来构造恶意请求。 原理解析: 1. **正常操作**: 当用户上传文件,例如 "example.jpg",服务器会将其保存到特定目录的 "uploads/example.jpg"。 2. **漏洞利用**: 如果黑客上传 "example%00.php",正常情况下会被解析为 "uploads/example.php"。但%00的存在使得后续的路径可以继续,如 "uploads/../../etc/passwd",这样可能导致服务器读取并显示不应该访问的系统文件。 3. **结果**:黑客实际上上传了一个名为 "example.jpg" 的文件,但实际上包含了额外的路径,可能会暴露敏感信息,造成权限提升或其他安全问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值