[基本实验] %00截断攻击的探索

首先先来看一个简单的asp实例

<%
username = request("username")
Response.write username
%>

这段代码从URL处获得参数username的值，然后显示在页面中。



可见%00之后的内容没有保存到变量中。

<html>
<head>
<meta http-equiv="Content-Language" content="zh-cn">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>文件上传</title>
</head>

<body>
<form method="POST" action="SaveFile.asp">
文件上传：<input type="file" name="file" size="42"> <input type="submit" value="提交" name="bb">
</form>
</body>
</html>

<%
dim file,filename,houzui
file = Request.Form("file")
response.write "文件名："&file
response.write "<br>"
houzui=mid(file,InStrRev(file, "."))
response.write "后缀名："&houzui
response.write "<br>"
if houzui=".gif" or houzui=".jpg" or houzui=".bmp" then
'允许上传的文件类型
response.write "图片上传成功"
else
response.write "不允许上传" & houzui & "的格式"
end if
%>

下面在网站中直接上传asp程序



可见网站阻止上传

利用Burp工具来实现0x00的截断，首先上传ma1.asp[空格]1.jpg获取到上传请求，随后点击action，并选择Send to Repeater



在Repeater选项卡中点击要更改的字节，（该网站将空格变为了+），将表示+的0x2b改为0x00，





然后点击Go，返回到proxy中，查看hex可见更改已经起效。



放行此请求，结果显示



通过上面的结果可知当asp代码file = Request.Form("file")得到文件名时，0x00之后的内容已经被删除了。

所以如果想利用0x00来达到攻击的目的，相应的网站代码也必须是存在截断上传漏洞的，而此例中的代码不具有此漏洞。

类似的来看看php中的情况

<html>
<head>
<meta http-equiv="Content-Language" content="zh-cn">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>文件上传</title>
</head>

<body>
<form
method="POST" action="SaveFile.php">
文件上传：<input type="file" name="file" size="42"> <input type="submit" value="提交" name="submit">
</form>
</body>
</html>

<?php
$WhiteList = array('rar','jpg','png','bmp','gif','jpg','doc');
if (isset($_POST["submit"])){
$name = $_FILES['file']['name']; //接收文件名
echo $name;
$extension = substr(strrchr($name,"."),1);//得到扩展名
$boo = false;

foreach ($WhiteList as $key=>$value){
if ($value==$extension){//迭代判断是否有命中
$boo=true;
}
}

if($boo){//如果有命中，则开始文件上传操作
$size=$_FILES['file']['size'];//接收文件大小
$tmp=$_FILES['file']['tmp_name'];//临时路径
move_uploaded_file($tmp,$name);//移动临时文件到当前文件目录
echo "文件上传成功！<br/> path:".$name;
}else {
echo "文件不合法！！";
}

}
?>

过程和asp的类似

上传ma2.php 1.jpg



在repeater中更改相应的字节 0x20->0x00



回头在看proxy中相应的字节已经被更改



最终显示的结果是



可见$_FILES['file']['name']在得到文件名时0x00之后的内容已经不见了，如果在此基础上判断后缀名是否合法，则肯定不能通过。

综上所述，0x00不是针对所有基于白名单的后缀名检查都能绕过，代码的实现过程中必须存在截断上传漏洞。