Poison Null Byte就是指使用 Null 字元,造成程式执行错误,本来指定要读取的档案,变成骇客想要读取的档案, Null 在 c语言中就是以「\0」来表示,这个字元代表者一个字串的结尾,如 string = "abc"; , 这个 string 在 memory 中会用掉四个 bytes ,内容是「abc\0」,而假设我故意将 Null 插在 a 与 b 的中间,那么 string 就会变成 「a\0bc\0」,这时再将 string 印出来到萤幕上时,就会印出 「a」,因为当程式碰到 「\0」,就认定字串已经结束了。
「\0」是程式使用的,在浏览器要生出一个 Null Byte 的方式是使用 %00,只要在 url 中输入 %00 ,浏览器会自动将 %00 转换成 Null Byte
以 php 为例来说,poison null byte 的用法如下
在 include, require, file_get_contents,readfile,fopen 等等, 都有相同的漏洞
例如有些网站为了避免 End User 随意输入参数,而在 require 档案的时候,会自动带上副档名 「.html」,强迫程式一定要读取一个 html 档。
- <?php
- $filename=$_GET['name'];
- require_once('/var/www/'.$filename.'.html');
程式看起来没有多大的问题,伺服器里的 html 档,本来就是要给 End User 来浏览的,就算被乱填档名,似乎也没多大的伤害。
但骇客只要使用 「nullByte.php?name=../../etc/passwd%00」 ,当传入的变数 name = ../../etc/passwd%00, 这时 php 就会读取 /var/www/../../etc/passwd%00.html 的档案内容,刚刚有说 %00 代表字串的结尾,所以最后会 require 到 /etc/passwd ,而把系统帐号资料印出来。
若是使用file_get_contents:
- <?php
- $file = $_GET['name'];
- $r=file_get_contents('/var/www/'.$file.'.php');
- echo $r;
其他如:readfile($_GET['file'].'.php'); $f=fopen($_GET['file'].'.php', 'r');
以上这些碰到Null字元,都会出错。
PHP程式解决 poison null byte 的办法
- <?php
- $filename = $_GET['name'];
- $filename = preg_replace(chr(0),'',$filename);
或是升级至 php 5.3.4 以上版本
回應 (Leave a comment)