Просматривая забугорный форум sla.ckers.org, обнаружил новый способ, позволяющий отбросить любое значение, в частности расширение файла, в инклудах
без использования нулл-байта. Как известно, нулл-байт экранируется при
magic_quotes_gpc=on, поэтому это зачастую создает трудности при эксплуатировании
LFI.
Способ заключается в том, что расширение можно отбросить, если до него предшествует последовательность символов, при чем длина этой последовательности может различаться в зависимости от OS. Где в коде PHP находится уязвимость пока сказать сложно, но вполне ясно, что она связана с теми же особенностями, которые ведут к проблемам с нулл-байтом, т.е. все исходит из C, на котором написан PHP. К сожалению, уязвимость не позволяет выбраться из текущей папки просто дописав перед значением
../, но мной был найден способ обхода (также зависит от OS).
1.
*nix
Символы, составляющие последовательность:
0x2F / (
не экранируется)
Длина полного пути *:
*getcwd() + DIRECTORY_SEPARATOR + имя файла + последовательность символов
4095 Linux
1023 FreeBSD
Пример:
http://localhost/test.php?lol=inc.php//////////////////////[...]
Выход за пределы текущей папки:
http://localhost/test.php?lol=existing_dir/../../inc.php//////////////////////[...]
где existing_dir имя существующей папки
в некоторых версиях PHP (e.g. 5.1.2) на linux имя папки может быть любым
2.
windows
В windows имеются значительные отличия в зависимости от версии PHP. Почти в каждой версии имеются свои особенности.
Символы, составляющие последовательность:
0x20 пробел
- не экранируется
- работает во всех версиях
- не работает при использовании способа с выходом из текущей директории
0x22 "
- экранируется
- работает в PHP => 5.2.0
- не работает при использовании способа с выходом из текущей директории
0x2E .
- не экранируется
- работает во всех версиях
- работает при использовании способа с выходом из текущей директории
0x3C <
- не экранируется
- работает в PHP => 5.2.0
- не работает при использовании способа с выходом из текущей директории
0x3E >
- не экранируется
- работает в PHP => 5.2.0
- не работает при использовании способа с выходом из текущей директории
0x2f /
- не экранируется
- работает во всех версиях, но в PHP => 5.2.0 только при условии, если отсутствует точка в отбрасываемом значении
- работает при использовании способа с выходом из текущей директории, но лишь в некоторых версиях
0x5c \
- экранируется
- работает во всех версиях, но в PHP => 5.2.0 только при условии, если отсутствует точка в отбрасываемом значении
- работает при использовании способа с выходом из текущей директории, но лишь в некоторых версиях
а также различные вариации с точкой:
./
.\
. (пробел)
.//.//
.\\.\\
etc
Длина полного пути *:
*getcwd() + DIRECTORY_SEPARATOR + имя файла + последовательность символов
PHP 4.4.2, 5.1.2, 5.2.6
265 если присутствует точка в отбрасываемом значении
266 если отсутствует
PHP 4.4.4, 4.4.9, 5.2.0
258 если присутствует точка в отбрасываемом значении
259 если отсутствует точка в отбрасываемом значении
Пример:
http://localhost/test.php?lol=inc.php.......................[...]
http://localhost/test.php?lol=inc.php<<<<<<<<<<<[...]
Выход за пределы текущей папки:
http://localhost/test.php?lol=exsiting_dir/../../inc.php............................[...]
http://localhost/test.php?lol=nonexsiting_dir/../../inc.php............................[...]
где nonexsiting_dir имя любой папки, даже несуществующей
Вывод исследования:
для windows универсальный символ для последовательности в векторе атаки это точка (.);
минимальная универсальная длина этой последовательности - 266 символов
в *nix единственным и универсальным символом является слэш (/);
минимальная универсальная длина последовательности - 4095 символов;
Для эксплуатации LFI в реальных условиях необходимо рассчитывать длину последовательности с учетом максимальной длины URL, которую способен принять веб-сервер. Если, например, сервер имеет ограничение URL < 4096 байт, а система работает на linux, то реализовать уязвимость не удастся
Информация конечно не совсем приватная, но пока что распространение она не получила.
Оригинальный топик: http://sla.ckers.org/forum/read.php?16,25706