过气的00截断

前记

为什么说 %00过气了呢…… 因为需要满足以下条件:

1.  php版本小于5.3.4
2.  php的magic\_quotes\_gpc为OFF状态

%00截断原理

截断的核心,就是 chr(0)这个字符 先说一下这个字符,这个字符不为空 (Null),也不是空字符 (""),更不是空格。 当程序在输出含有 chr(0)变量时 chr(0)后面的数据会被停止,换句话说,就是误把它当成结束符,后面的数据直接忽略,这就导致漏洞产生

一些应用

读文件

<?php
$file = $_GET\['file'\].'PNG';
$contents =  file\_get\_contents($file);
file\_put\_contents('put.txt', $contents);
?>

利用方式: http://localhost/FileGetContents.php?file=password%00 此时可以看到当前目录 put.txt是上面 password中的内容。 原理很简单, %00截断了后面的 .PNG

文件上传

<html>
<body>

<h2>test</h2>
<form action="" method="post" enctype="multipart/form-data">
<label>文件:</label>
<input type="file" name = "file" >
<input type="submit" value="submit" name = "upload">
</form>

</body>
</html>

<?php
error_reporting(0);

if(isset($_POST\['upload'\]))
{
    $ext_arr = array('flv','swf','mp3','mp4','3gp','zip','rar','gif','jpg','png','bmp');
    $file_ext = substr($_FILES\['file'\]\['name'\],strrpos($_FILES\['file'\]\['name'\],".")+1);
    if(in_array($file_ext,$ext_arr))
    {
        $tempFile = $_FILES\['file'\]\['tmp_name'\];
        // 这句话的$_REQUEST\['jieduan'\]造成可以利用截断上传
        $targetPath = $_SERVER\['DOCUMENT_ROOT'\].$_REQUEST\['jieduan'\].rand(10, 99).date("YmdHis").".".$file_ext;
        if(move\_uploaded\_file($tempFile,$targetPath))
        {
            echo '上传成功'.'<br>';
            echo '路径:'.$targetPath;
        }
        else
        {
            echo("上传失败");
        }

    }
else
{
    echo("上传失败");
}

}

?>

问题就出在:

$targetPath = $_SERVER['DOCUMENT_ROOT'].$_REQUEST['jieduan'].rand(10, 99).date("YmdHis").".".$file_ext;

这里的 $_REQUEST['jieduan']存在截断 可以上传文件名如下 sky.php%00.jpg$_REQUEST['jieduan']中, %00截断了后面的代码 带入后就成了

targetPath=targetPath = \_SERVER\['DOCUMENT\_ROOT'\].sky.php;

再经过 move\_uploaded\_file(tempFile,tempFile,targetPath)就成功传入了php恶意文件

本文分享自微信公众号 - 安恒网络空间安全讲武堂(cyberslab)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-12-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • upload-labs第11~12关 00截断

    0x:16进制表示 00:表示0 0x00:就是代表16进制的0,在ASCII码里代表null。

    宸寰客
  • 利用FCKeditor之%00截断获得webshell

        网上关于fckeditor的漏洞利用教程都很老了,基本上都停留在2.4.x版本之前,但是2.6.x版本提的却很少。(FCKeditor2.6.8应该是它...

    phith0n
  • 关于File Upload的一些思考

    在web渗透中,文件上传是最简单直接的方式之一。但是碰到完全不做校验的代码直接上传getshell,很难有这样的运气;大部分时候都有检测,甚至多处设卡。

    FB客服
  • Android 天气APP(十九)更换新版API接口(更高、更快、更强)

    近段时间,和风天气上线了新的API版本,并且给所有的和风开发者发送了邮件,好像是7月10号,哪个时候我去看了一下,发现改动还是有的,和风天气V7版开发API文档...

    晨曦_LLW
  • 全面复盘台风“山竹”应急保障

    2018年9月16日,今年第22号超强台风“山竹”经过整整13天的酝酿之后,形成了中心风力高达18级以上的巨无霸,携带着狂暴的超能量由西太平洋北上,正面侵袭粤港...

    腾讯数据中心
  • “测雨英雄”等你来战 天池全球气象AI挑战赛即将启动

    北京时间2018年5月21日消息,阿里云·天池平台将于5月23日发起全球气象AI挑战赛,旨在利用人工智能技术帮助粤港澳大湾区解决暴雨防范的问题。

    DT数据侠
  • 三进三出 | 渗透测试

    测试一个单位,其中一个官网,点进去一看,质朴中透露着一股有问题的气息,看了一下架构:IIS+PHP,美妙的组合。

    意大利的猫
  • CTF---Web入门第二题 上传绕过

    上传绕过分值:10 来源: Justatest 难度:易 参与人数:5847人 Get Flag:2272人 答题人数:2345人 解题通过率:97% by...

    Angel_Kitty
  • QQ表情遇上云南小青柑 腾讯IP塑造计划又有新动作

    ? 继“敦煌诗巾”后,腾讯文创联合游云南诚选又推出一款用户可DIY的表情茶~ 还记得你发的第一个表情符号吗? 从当年的QQ到QQ空间再到现在的微信, 回想每一...

    腾讯文旅
  • 数据分析篇 | Pandas 时间序列 - 日期时间索引

    DatetimeIndex 主要用作 Pandas 对象的索引。DatetimeIndex 类为时间序列做了很多优化:

    龙哥
  • CTF实战14 任意文件上传漏洞

    该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

    用户1631416
  • Web应用渗透测试-本地文件包含

    0x01 前言 本文的目的在于帮助网络安全爱好者们去识别和测试LFI漏洞,通过研究去探究LFI渗透测试技术以及LFI漏洞通常在哪里被发现。如果你有更好的奇淫技巧...

    ChaMd5安全团队
  • ESP8266_16天气预报之JSON数据的生成与解析

    上一节通过HTTP的GET操作,我们获取了天气相关的信息。但相关信息是以JSON格式发下来的,所以需要对数据进行解析。解析之前先明确几点:

    MCU起航
  • 24-ESP8266 SDK开发基础入门篇--Android TCP客户端.控制 Wi-Fi输出PWM的占空比,调节LED亮度

    https://www.cnblogs.com/yangfengwu/p/11204436.html

    杨奉武
  • 晒截图,赢视频VIP和萌宠公仔|12月享礼月·第1弹

    12月刚开始,乐乐的朋友圈里都是朋友们的许愿求好运:“12月请对我好一点”。大家有没有许愿2020最后一个月好运降临呢? ? 乐乐今天为陪伴了腾讯乐享又一年...

    腾讯乐享
  • MySQL 8.0.21中UNDO截断的改进

    UNDO表空间可以在MySQL 8.0中隐式或显式截断。两种方法使用相同的机制。当UNDO表空间截断完成时,可能导致非常繁忙的系统上的定期停顿。此问题已在MyS...

    MySQLSE
  • 手搓一个分布式大气监测系统(四)基于TencentOS Tiny RISC-V开发板打造PM2.5监测终端

    鹅民大气监测项目是一个以腾讯云物联网开发平台为基础起点,并叠加多款云产品后,实现的一个验证型项目。

    Supowang
  • 数据处理于可视化 | 湿位涡剖面分析

    在暴雨发生前期,形成暴雨的基本条件逐渐形成甚至完全具备。通过对形成暴雨的基本条件即:水汽条件、不稳定能量条件、上升运动条件等诊断分析,有助于判断暴雨发生的可能性...

    郭好奇同学
  • TAPD定制红包封面来啦!好礼多多,春节快乐!

    ? 感谢大家对TAPD一直以来的支持与信任 这次,TAPD精心为大家 准备了两份春节福利 祝大家牛年大吉,牛气冲天! 福利一:领取TAPD定制红包封面 # ...

    TAPD敏捷研发

扫码关注云+社区

领取腾讯云代金券