%00截斷
介紹:
0x00,%00,/00 在url中 %00 表示ascll碼中的 0 ,而ascii中0作為特殊字符保留,表示字串結束,所以當url中出現%00時就會認為讀取已結束,但是所謂的if攔截仍會讀取后面的后綴達到繞過白名單的效果,
當前版本環境:
PHP版本低于5.4.24,或者PHP版本在5.5.8到5.6.0之間,且GPC關閉(php.in中"magic.quotes gpc"選項設定為0ff) ,則可能存在PHP檔案上傳時被00截斷的問題,此后的PHP版本中,該問題已經得到修復,同時不再需要關閉GPC
前端界面:
原始碼:
<?php
// 允許上傳的圖片后綴
$allowedExts = array("gif", "jpeg", "jpg", "png");
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp); // 獲取檔案后綴名
var_dump($extension);
var_dump($_FILES["file"]["name"]);
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800000)
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "錯誤:: " . $_FILES["file"]["error"] . "<br>";
}
else
{
echo "上傳檔案名: " . $_FILES["file"]["name"] . "<br>";
echo "檔案型別: " . $_FILES["file"]["type"] . "<br>";
echo "檔案大小: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo "檔案臨時存盤的位置: " . $_FILES["file"]["tmp_name"] . "<br>";
// 判斷當期目錄下的 upload 目錄是否存在該檔案
// 如果沒有 upload 目錄,你需要創建它,upload 目錄權限為 777
if (file_exists("upload/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " 檔案已經存在, ";
}
else
{
// 如果 upload 目錄不存在該檔案則將檔案上傳到 upload 目錄下
move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
echo "檔案存盤在: " . "upload/" . $_FILES["file"]["name"];
}
}
}
else
{
echo "非法的檔案格式";
}
?>
源代碼中:
正常%00截斷上傳流程:
獲取的后綴是.php所以繞不過第一個if白名單的檢測,
更改之后的代碼:
<?php
// 允許上傳的圖片后
$savepath=$_GET["savepath"];
$allowedExts = array("gif", "jpeg", "jpg", "png");
$temp = explode(".", $savepath);
echo $_FILES["file"]["size"];
var_dump($temp);
$extension = end($temp); // 獲取檔案后綴名
echo $extension;
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800000)
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "錯誤:: " . $_FILES["file"]["error"] . "<br>";
}
else
{
echo "上傳檔案名: " . $_FILES["file"]["name"] . "<br>";
echo "檔案型別: " . $_FILES["file"]["type"] . "<br>";
echo "檔案大小: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo "檔案臨時存盤的位置: " . $_FILES["file"]["tmp_name"] . "<br>";
// 判斷當期目錄下的 upload 目錄是否存在該檔案
// 如果沒有 upload 目錄,你需要創建它,upload 目錄權限為 777
if (file_exists("upload/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " 檔案已經存在, ";
}
else
{
// 如果 upload 目錄不存在該檔案則將檔案上傳到 upload 目錄下
move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $savepath);
echo "檔案存盤在: " . "upload/" . $savepath;
}
}
}
else
{
echo "非法的檔案格式";
}
?>
使用$savepathPOST傳遞檔案名稱引數,$extension = end($temp)=123.php%00.jpg=jpg,從而繞過白名單的檢測,最后的move_uploaded_file保存$_FILES["file"]["tmp_name"]使用截斷繞過避免生成生成靜態檔案123.php%00.jpg,
結果:
參考:
http://www.admintony.com/關于上傳中的00截斷分析.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/554945.html
標籤:PHP
下一篇:返回列表