00截断
在ASCII码中,00代表的是空(Null)字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。00截断会导致文件上传路径截断
原理:
服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置也就是文件另存,函数在执行的时候会有两个参数,第一个参数就是原文件的路径,第二个参数就是目标函数的路径,这两个路径都是作为字符串来出现的;该函数属于文件系统函数,涉及到文件操作,底层是采用C语言实现的,在C语言中,判断字符串是否结束是以空字符为标志的。因此,当上传的文件名中含有%00符号时,服务器会认为字符串到此结束,从而达到绕过的目的。
简单来说,在C语言中%00是字符串的结束标识符,而PHP就是C语言写的,所以继承了C语言的特性,所以判断为%00是结束符号不会继续往后执行。
利用前提条件:
PHP<5.3.29,且GPC关闭
能够自定义上传路径
漏洞利用
PHPstudy切换到5.2.17版本
关闭GPC,打开对应的php.ini文件将GPC关闭,然后重启服务器
实战前准备
准备好一个文件,该文件可能是木马,也可能是其他任意文件,本实验以php探针作为测试文件,来验证是否存在文件上传漏洞以及绕过漏洞检测的方法。
文件名为:phpinfo.php,文件内容:。
靶场环境:upload-labs
less12
实战详细步骤
测试过程:可以先测试前端JS绕过→MIME绕过→服务端后缀名绕过→文件内容绕过等
访问upload-labs并点击进入第12关
点击浏览,选择提前准备的探针文件phpinfo.php
在页面点击上传按钮之前,打开burp,打开拦截请求
打开拦截后,返回页面继续上传,之后发现burp成功拦截请求,这意味着浏览器端并没有检测文件后缀名。将拦截的请求,右键发送到repeater模块。
在repeater模块中,点击send,查看响应结果,出现错误提示:只允许上传.jpg|.png|.gif类型文件
在repeater模块中,将http请求中的文件后缀名由php修改为gif,点击send,可以看到响应中正常,出现文件上传路径,说明文件上传成功。(由此 我们可以断定服务器在文件上传进行验证的时候,未验证文件内容,也未验证Content-Type类型,但是服务器会把我们上传的文件进行重命名)
返回Proxy模块中按照上一步操作,http请求中的文件后缀名由php修改为gif,点击forward,可以看到请求发送成功,并收到后端的响应显示如下,由于该文件不是真的图片,因此显示失败。
点击图标右键选择新建标签页打开,可以看到无法执行(这是由于于所上传的文件无法按照php解析)
在http请求中,我们发现了"save_path",顾名思义就是文件上传的路径,也可以影响文件存储路径,而根据响应的文件路径,可以发现服务器对上传的文件进行了重命名。在Burp中的repeater模块,尝试是否可以在http请求的请求行中将上传文件另存为.php的文件呢?尝试之后发现,上传出错。
由于我们只想保存到test.php后面路径都不需要了,因此我们只能在repeater模块中进行00截断。在http请求的路径参数中添加test.php%00来进行文件路径截断,由于C语言会将空字符认为是字符串终止符号,函数move_uploaded_file()在保存文件时会将%00后面的字符“截断”,导致服务器将文件以攻击者想要的后缀名存储在攻击者想要的位置。
在Proxy模块中,http请求中的文件后缀名由php修改为gif,且在文件路径后添加test.php%00,点击forward。返回到浏览器,可以看到文件成功上传。
点击图标右键选择新建标签页打开,发现打开页面404,此时我们只需删除test.php符号后的字段,可以看到文件的代码被成功执行。
注意:在http请求中,存储路径可控,是可以采用00截断的一个条件,且采用00阶段是为了使上传的文件可执行。
来源地址:https://blog.csdn.net/2301_76334474/article/details/129074907