資源描述:
《windows環(huán)境下uploaded》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1����、windows環(huán)境下uploaded在早期的PHP版本中,上傳文件很可能是通過如下的代碼實(shí)現(xiàn)的:......if(isset($_FILES['file'])){$tmp_name=$_FILES['file']['tmp_name'];}if(file_exists($tmp_name)){copy($tmp_name,$destfile);}......但是很可能會(huì)被偽造一個(gè)$_FILES['file']數(shù)組出來����,如果tmp_name的內(nèi)容會(huì)被指定為/etc/passove_uploaded_file()解決了這個(gè)問題,用is_uploaded_file(
2�����、)不僅會(huì)檢查$_FILES['file']['tmp_name']是否存在����,而且會(huì)檢查$_FILES['file']['tmp_name']是否是上傳的文件���,這樣就使得偽造$_FILES變量變得不可能�����,因?yàn)槟_本會(huì)在檢查到$_FILES['file']['tmp_name']不是PHP上傳的時(shí)候終止執(zhí)行���。偽造變得不可能了么��?在很多的腳本里面我看到初試化部分就有extract($_POST)之類的操作��,以保證程序在registerglobals為off的環(huán)境下能繼續(xù)運(yùn)行��,這樣的環(huán)境下我們很輕松可以偽造$_FILES數(shù)組�����,甚至將原來的$_FILES數(shù)組覆蓋�����,但是想完
3�、全的偽造一個(gè)$_FILES數(shù)組還是很困難的��,因?yàn)槟銦o法饒過is_uploaded_file()和move_uploaded_file()。但是在p這種格式�,上傳的時(shí)候文件名字會(huì)是C:PphpXXXXXX.tmp這種格式變化,其中XXXXXX是十六進(jìn)制的數(shù)字�,并且是按照順序增加的�,也就是說如果這次上傳的臨時(shí)文件名是C:Pphp93.tmp,那么下次就會(huì)是C:Pphp94.tmp�,臨時(shí)文件名變得有規(guī)律����。但是我們可能不知道當(dāng)前的文件名是什么���,這可以通過php自身的錯(cuò)誤機(jī)制泄露出來���,譬如我們將臨時(shí)文件拷貝到一個(gè)沒有權(quán)限的目錄或者在目標(biāo)文件里包含文件系統(tǒng)禁止
4�、的字符就可以將當(dāng)前的臨時(shí)文件名字給泄露出來��,當(dāng)然前提是沒有錯(cuò)誤抑制處理����。那么到底如何饒過is_uploaded_file()和move_uploaded_file()呢�?看看php中is_uploaded_file()部分的代碼:PHP_FUNCTION(is_uploaded_file){zval**path;if(!SG(rfc1867_uploaded_files)){RETURN_FALSE;}if(ZEND_NUM_ARGS()!=1
5��、
6����、zend_get_parameters_ex(1,path)!=SUCCESS){ZEND__COUNT();}c
7���、onvert_to_string_ex(path);if(zend_hash_exists(SG(rfc1867_uploaded_files),Z_STRVAL_PP(path),Z_STRLEN_PP(path)+1)){RETURN_TRUE;}else{RETURN_FALSE;}}它是從當(dāng)前的rfc1867_uploaded_files哈希表中查找看是否當(dāng)前的文件名是否存在����。其中rfc1867_uploaded_files保存了當(dāng)前php腳本運(yùn)行過程中由系統(tǒng)和php產(chǎn)生的有關(guān)文件上傳的變量和內(nèi)容。如果存在����,就說明指定的文件名的確是本次上傳的,否則為否
8��、��。php有個(gè)很奇怪的特性就是��,當(dāng)你提交一個(gè)上傳表單時(shí),php在做處理之前這個(gè)文件就已經(jīng)被上傳到臨時(shí)目錄下面����,一直到php腳本運(yùn)行結(jié)束的時(shí)候才會(huì)銷毀掉����。也就是說�,你即使向一個(gè)不接受$_FILSE變量的php腳本提交這樣一個(gè)表單,$_FILSE變量依然會(huì)產(chǎn)生����,文件依然會(huì)被先上傳到臨時(shí)目錄。問題就產(chǎn)生了�����。下面的腳本可能能說明這個(gè)問題:<?$a=$_FILES['attach']['tmp_name'];echo$a.".............";$file='C:\P\php95.tmp';echo$file;if(is_uploaded_file($f
9���、ile))echo'..................Yes';?>其中C:\P\php95.tmp是我猜測(cè)的臨時(shí)文件名字,當(dāng)時(shí)��,測(cè)試這個(gè)腳本的時(shí)候我們需要向它上傳一個(gè)文件或者是100個(gè)文件��,使得其中一個(gè)臨時(shí)文件名為C:\P\php95.tmp����。如果此刻腳本有extract操作�,我們就可以很方便的偽造出一個(gè)$_FILES變量了。不是么�����?可能要問偽造$_FILES變量有什么作用��,我們就可以產(chǎn)生原來程序不允許的文件名了,php在處理上傳的時(shí)候會(huì)對(duì)原來的文件名有一個(gè)類似于basename()的操作�����,但是一旦可以偽造之后我們就可以輕易的在文件名之內(nèi)加啊..
10��、/啊等等你所喜歡的任何東西實(shí)際利用可能
