windows环境下uploaded_file函数如何饶过缺陷

2016-01-29 13:21 5 1 收藏

windows环境下uploaded_file函数如何饶过缺陷,windows环境下uploaded_file函数如何饶过缺陷

【 tulaoshi.com - PHP 】

在早期的PHP版本中,上传文件很可能是通过如下的代码实现的:

......
if (isset($_FILES['file'])) {
$tmp_name = $_FILES['file']['tmp_name'];
}
if (file_exists($tmp_name)) {
copy($tmp_name,$destfile);
}
......
但是很可能会被伪造一个$_FILES['file']数组出来,如果tmp_name的内容会被指定为/etc/passwd等敏感信息的内容,那么很容易出现安全问题。PHP在后来的版本中用is_uploaded_file() 和 move_uploaded_file()解决了这个问题,用is_uploaded_file()不仅会检查$_FILES['file']['tmp_name']是否存在,而且会检查$_FILES['file']['tmp_name']是否是上传的文件,这样就使得伪造$_FILES变量变得不可能,因为脚本会在检查到$_FILES['file']['tmp_name']不是PHP上传的时候终止执行。
伪造变得不可能了么?在很多的脚本里面我看到初试化部分就有@extract($_POST)之类的操作,以保证程序在register globals为off的环境下能继续运行,这样的环境下我们很轻松可以伪造$_FILES数组,甚至将原来的$_FILES数组覆盖,但是想完全的伪造一个$_FILES数组还是很困难的,因为你无法饶过is_uploaded_file() 和 move_uploaded_file()。但是在windows下的php环境下测试时,我们发现php的临时文件很有规律,是C:WINDOWSTEMPphp93.tmp这种格式,上传的时候文件名字会是C:WINDOWSTEMPphpXXXXXX.tmp这种格式变化,其中XXXXXX是十六进制的数字,并且是按照顺序增加的,也就是说如果这次上传的临时文件名是C:WINDOWSTEMPphp93.tmp,那么下次就会是C:WINDOWSTEMPphp94.tmp,临时文件名变得有规律。但是我们可能不知道当前的文件名是什么,这可以通过php自身的错误机制泄露出来,譬如我们将临时文件拷贝到一个没有权限的目录或者在目标文件里包含文件系统禁止的字符就可以将当前的临时文件名字给泄露出来,当然前提是没有错误抑制处理。
那么到底如何饶过is_uploaded_file() 和 move_uploaded_file()呢?看看php中is_uploaded_file()部分的代码:

PHP_FUNCTION(is_uploaded_file)
{
zval **path;
if (!SG(rfc1867_uploaded_files)) {
  RETURN_FALSE;
}
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &path) != SUCCESS) {
  ZEND_WRONG_PARAM_COUNT();
}
convert_to_string_ex(path);
if (zend_hash_exists(SG(rfc1867_uploaded_files), Z_STRVAL_PP(path), Z_STRLEN_PP(path)+1)) {
  RETURN_TRUE;
} else {
  RETURN_FALSE;
}
}
它是从当前的rfc1867_uploaded_files哈希表中查找看是否当前的文件名是否存在。其中rfc1867_uploaded_files保存了当前php脚本运行过程中由系统和php产生的有关文件上传的变量和内容。如果存在,就说明指定的文件名的确是本次上传的,否则为否。
php有个很奇怪的特性就是,当你提交一个上传表单时,php在做处理之前这个文件就已经被上传到临时目录下面,一直到php脚本运行结束的时候才会销毁掉。也就是说,你即使向一个不接受$_FILSE变量的php脚本提交这样一个表单,$_FILSE变量依然会产生,文件依然会被先上传到临时目录。问题就产生了。下面的脚本可能能说明这个问题:

<?
$a=$_FILES['attach']['tmp_name'];
echo $a.".............";
$file='C:WINDOWSTEMPphp95.tmp';
echo $file;
if(is_uploaded_file($file)) echo '..................Yes';
?
其中C:WINDOWSTEMPphp95.tmp是我猜测的临时文件名字,当时,测试这个脚本的时候我们需要向它上传一个文件或者是100个文件,使得其中一个临时文件名为C:WINDOWSTEMPphp95.tmp。如果此刻脚本有extract操作,我们就可以很方便的伪造出一个$_FILES变量了。不是么?可能要问伪造$_FILES变量有什么作用,我们就可以产生原来程序不允许的文件名了,php在处理上传的时候会对原来的文件名有一个类似于basename()的操作,但是一旦可以伪造之后我们就可以轻易的在文件名之内加啊../啊等等你所喜欢的任何东西
实际利用可能有点苛刻,但是也总算是php一点瑕疵吧,呵呵。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/php/)

来源:http://www.tulaoshi.com/n/20160129/1489887.html

延伸阅读
标签: 电脑入门
PR2/PR2E可在Windows环境下利用OLIVETTI、IBM、OKI等仿真选择的打印驱动程序完成各种软件的打印功能,从以上几种仿真的使用效果来看,我们建议用户最好使用IBM Proprinter X24驱动程序。 打印机的设置方法参见:PR2,pr2e参数设置 一,WINNT/2000平台下olivetti的驱动程序 1,先在本站下载olivetti-PR2 WINNT/2000驱动 2,PC机 在WINDOWSNT...
标签: 电脑入门
Windows下JSP开发环境的配置方案,一看到这个标题,大家首先发出的疑问:什么事jsp呢?JSP(Java Server Pages)是由Sun Microsystems公司倡导、许多公司参与一起建立的一种动态网页技术标准。JSP技术有点类似ASP技术,它是在传统的网页HTML文件(*.htm,*.html)中插入Java程序段(Scriptlet)和JSP标记(tag),从而形成JSP文件(*.jsp)。 用JSP开发的Web应...
标签: Web开发
在配置Eclipse之前,首先需要一个Apache+PHP的基础环境, 可以装wampp或php home,它们都是集成化安装,比较方便,下载地址如下: wampp2.2 php home 建议装wampp2.2,集成Apache,MySQL,Perl,PHP。而且解压缩就可用,我就用它挺方便的。 下面我就以安装wampp2.2为例,一步一步的讲解一下,如何去配置基于Eclipse...
安装的是oracle9i,平台2000windows。 可以使用SQL plus,但使用PL/SQL developer 6.0, 登录提示错误:ora-12541 TNS 没有监听器。 在监听程序配置中重新添加但还是没用。 在管理/服务下手工启动OracleOraHome90TNSListener, 提示错误:系统找不到指定路径。 请问这是什么原因,如何解决? 有几种情...
标签: Web开发
  Sun推出的JSP(Java Server Pages)是一种执行于服务器端的动态网页开发技术,它基于Java技术。执行JSP时需要在Web服务器上架设一个编译JSP网页的引擎。配置 JSP 环境可以有多种途径,但主要工作就是安装和配置Web服务器和JSP引擎。 下面就以Tomcat作为JSP引擎,配合Tomcat、Apache、IIS这三种Web服务器来讲述3种搭建JSP运行环境的方案...

经验教程

741

收藏

22
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部