漏洞細(xì)節(jié):

這個(gè)漏洞存在于php中一個(gè)非常常用的函數(shù)中：move_uploaded_files，開發(fā)者總是用這個(gè)函數(shù)來移動 上傳 的文件,這個(gè)函數(shù)會檢查被上傳的文件是否是一個(gè)合法的文件(是否是通過 HTTP 的 post 機(jī)制上傳的)，如果是合法的文件，則將它一定到指定目錄中。

例子：

move_uploaded_file ( string $filename , string $destination )這里的問題是，可以在文件名中插入空字符(之前多次修復(fù)過這個(gè)漏洞，比如CVE-2006-7243) ，利用插入空字符的方式，攻擊者可以上傳任意文件，引起遠(yuǎn)程代碼執(zhí)行漏洞等。

我這里用DVWA來演示這個(gè)例子，DVWA級別最高的一題中因?yàn)榉N種原因不是很容易通過，意在告訴開發(fā)者如何去開發(fā)更 安全 的文件上傳組件。讓我們來看看這個(gè)例子：

代碼地址：https://github.com/RandomStorm/DVWA/blob/master/vulnerabilities/upload/source/high.php

代碼片段：

$uploaded_name = $_FILES[’uploaded’][’name’];$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, ’.’) + 1); $uploaded_size = $_FILES[’uploaded’][’size’];if (($uploaded_ext == 'jpg' || $uploaded_ext == 'JPG' || $uploaded_ext == 'jpeg' || $uploaded_ext == 'JPEG') && ($uploaded_size < 100000)){ if(!move_uploaded_file($_FILES[’uploaded’][’tmp_name’], $target_path)) {$html .= ’’;$html .= ’Your image was not uploaded.’;$html .= ’’; }else {$html .= $target_path . ’ succesfully uploaded!’;..

這段代碼有好多個(gè)漏洞，比如XSCH, XSS等，但是沒有RCE這種嚴(yán)重的漏洞，因?yàn)閺腜HP 5.3.1開始，空字符的問題已經(jīng)被修復(fù)了。這里的問題是，DVWA將用戶上傳的name參數(shù)傳遞給了move_upload_file()函數(shù)，那么 php 執(zhí)行的操作可能就是這樣子的：

move_uploaded_file($_FILES[‘name’][‘tmp_name’],”/file.phpx00.jpg”);這本應(yīng)該創(chuàng)建一個(gè)名為file.phpx00.jpg的文件，但實(shí)際上創(chuàng)建的文件是file.php。

這樣，就繞過了代碼中對后綴名的校驗(yàn)，并且事實(shí)證明GD庫中又很多其他函數(shù)也存在這個(gè)問題(比如getimagesize(), imagecreatefromjpeg()…等)，可以看這個(gè)例子。

如果你機(jī)器的php版本在 5.4.39, 5.5.x – 5.5.23, 或者 5.6.x – 5.6.7，可以通過檢查文件名中是否有x00字符來解決本文中所述的問題。

安全建議如果你的機(jī)器上存在這個(gè)漏洞，建議使用隨機(jī)字符串重命名文件名，而不是使用用戶上傳上來的name參數(shù)的值。