返回
windows环境下uploaded

windows环境下uploaded

ID:22373035

大小:54.00 KB

页数:5页

时间:2018-10-28

windows环境下uploaded_第1页
windows环境下uploaded_第2页
windows环境下uploaded_第3页
windows环境下uploaded_第4页
windows环境下uploaded_第5页
资源描述:

《windows环境下uploaded》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、windows环境下uploaded在早期的PHP版本中,上传文件很可能是通过如下的代码实现的:......if(isset($_FILES['file'])){$tmp_name=$_FILES['file']['tmp_name'];}if(file_exists($tmp_name)){copy($tmp_name,$destfile);}......但是很可能会被伪造一个$_FILES['file']数组出来,如果tmp_name的内容会被指定为/etc/passove_uploaded_file()解决了这个问题,用is_uploaded_file(

2、)不仅会检查$_FILES['file']['tmp_name']是否存在,而且会检查$_FILES['file']['tmp_name']是否是上传的文件,这样就使得伪造$_FILES变量变得不可能,因为脚本会在检查到$_FILES['file']['tmp_name']不是PHP上传的时候终止执行。伪造变得不可能了么?在很多的脚本里面我看到初试化部分就有extract($_POST)之类的操作,以保证程序在registerglobals为off的环境下能继续运行,这样的环境下我们很轻松可以伪造$_FILES数组,甚至将原来的$_FILES数组覆盖,但是想完

3、全的伪造一个$_FILES数组还是很困难的,因为你无法饶过is_uploaded_file()和move_uploaded_file()。但是在p这种格式,上传的时候文件名字会是C:PphpXXXXXX.tmp这种格式变化,其中XXXXXX是十六进制的数字,并且是按照顺序增加的,也就是说如果这次上传的临时文件名是C:Pphp93.tmp,那么下次就会是C:Pphp94.tmp,临时文件名变得有规律。但是我们可能不知道当前的文件名是什么,这可以通过php自身的错误机制泄露出来,譬如我们将临时文件拷贝到一个没有权限的目录或者在目标文件里包含文件系统禁止

4、的字符就可以将当前的临时文件名字给泄露出来,当然前提是没有错误抑制处理。那么到底如何饶过is_uploaded_file()和move_uploaded_file()呢?看看php中is_uploaded_file()部分的代码:PHP_FUNCTION(is_uploaded_file){zval**path;if(!SG(rfc1867_uploaded_files)){RETURN_FALSE;}if(ZEND_NUM_ARGS()!=1

5、

6、zend_get_parameters_ex(1,path)!=SUCCESS){ZEND__COUNT();}c

7、onvert_to_string_ex(path);if(zend_hash_exists(SG(rfc1867_uploaded_files),Z_STRVAL_PP(path),Z_STRLEN_PP(path)+1)){RETURN_TRUE;}else{RETURN_FALSE;}}它是从当前的rfc1867_uploaded_files哈希表中查找看是否当前的文件名是否存在。其中rfc1867_uploaded_files保存了当前php脚本运行过程中由系统和php产生的有关文件上传的变量和内容。如果存在,就说明指定的文件名的确是本次上传的,否则为否

8、。php有个很奇怪的特性就是,当你提交一个上传表单时,php在做处理之前这个文件就已经被上传到临时目录下面,一直到php脚本运行结束的时候才会销毁掉。也就是说,你即使向一个不接受$_FILSE变量的php脚本提交这样一个表单,$_FILSE变量依然会产生,文件依然会被先上传到临时目录。问题就产生了。下面的脚本可能能说明这个问题:<?$a=$_FILES['attach']['tmp_name'];echo$a.".............";$file='C:\P\php95.tmp';echo$file;if(is_uploaded_file($f

9、ile))echo'..................Yes';?>其中C:\P\php95.tmp是我猜测的临时文件名字,当时,测试这个脚本的时候我们需要向它上传一个文件或者是100个文件,使得其中一个临时文件名为C:\P\php95.tmp。如果此刻脚本有extract操作,我们就可以很方便的伪造出一个$_FILES变量了。不是么?可能要问伪造$_FILES变量有什么作用,我们就可以产生原来程序不允许的文件名了,php在处理上传的时候会对原来的文件名有一个类似于basename()的操作,但是一旦可以伪造之后我们就可以轻易的在文件名之内加啊..

10、/啊等等你所喜欢的任何东西实际利用可能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。