# Burpsuite上传截断及截断原理介绍
# 简介
截断的产生核心,就是chr(0)字符 。
这个字符即不为空(Null),也不是空字符(""),更不是空格!
当程序在输出含有chr(0)变量时,chr(0)后面的数据会被停止,换句话说,就是误把它当成结束符,后面的数据直接忽略,这就导致漏洞产生的原因。
# 后端语言
# PHP
在php 5.3.4中修复了0字符,但是在之前的版本中仍然危害巨大。
简单测试一下 (PHP 版本<5.3.4)
<?php
$data = $_GET["filename"]`;
echo $data;
?>
1
2
3
4
2
3
4
url中输入xx.php?filename=test.php%00.txt,实际输出为test.php.
常见利用方法:
1.上传时路径可控,使用00截断
2.文件下载时,00截断绕过白名单检查
3.文件包含时,00截断后面限制(主要是本地包含时)
4.其它与文件操作有关的地方都可能使用00截断。
1
2
3
4
2
3
4
# ASP
在文件上传路径可控时出现:
<%
response.write(request("Filename"))
%>
1
2
3
2
3
传入filename=test.asp%00.txt, 获得参数值是test.asp,asp 会自动截断 %00 后面的内容。
# JSP
<%
String temp=request.getRealPath("/")+request.getParameter("path");
out.println(temp);
String ext = temp.substring(temp.lastIndexOf(".") + 1);
out.println(ext);
%>
1
2
3
4
5
6
2
3
4
5
6
传入path=shell.jsp%00.txt 获得后缀是txt,但是操作文件的api是使用 C 实现会导致00截断。因此这个与php相似,利用场景是文件上传 文件下载等。
# Web容器解析漏洞
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。
# 写在最后
如果你觉得冰河写的还不错,请微信搜索并关注「 冰河技术 」微信公众号,跟冰河学习高并发、分布式、微服务、大数据、互联网和云原生技术,「 冰河技术 」微信公众号更新了大量技术专题,每一篇技术文章干货满满!不少读者已经通过阅读「 冰河技术 」微信公众号文章,吊打面试官,成功跳槽到大厂;也有不少读者实现了技术上的飞跃,成为公司的技术骨干!如果你也想像他们一样提升自己的能力,实现技术能力的飞跃,进大厂,升职加薪,那就关注「 冰河技术 」微信公众号吧,每天更新超硬核技术干货,让你对如何提升技术能力不再迷茫!
