可以繞過file_get_contents參數的附加文件後綴嗎？

Question

考慮下面的代碼

<?php 
// warning: this code is unsafe and for demonstrational purposes only, 
// do not use in a production environment 
$filename = $_GET['filename']; 
$extension = 'txt'; 
$path = '/absolute/path'; 
$fullFilename = sprintf('%s/%s.%s', $path, $filename, $extension); 
echo file_get_contents($fullFilename); 

大家都知道（至少我希望如此），其前面加上了絕對路徑是沒有辦法充分的平均值，以防止離開給定的路徑 - 一個可以簡單地插入一個或多個「 ../「到查詢字符串以到達文件系統上的任何路徑。

我的問題是：類似於給定的示例，可以$_GET['filename']也可以以這樣的方式操縱該給定擴展後綴也可被旁路，即比其它的.txt文件是呼應？我特別想到某些控制字符繞過附加的文件擴展名，其方式與../用前綴相同。

我嘗試添加一些控制字符（例如ASCII碼127刪除）查詢字符串或使用&&，|或>，但都無濟於事連接兩個文件名，我想知道是否存在這樣的可能性，在所有。

（順便說一句，我想補充說明，這個問題是沒有要求的目的利用的系統。這純粹是在我的腦海來到最近一個假設性的問題。）

Answer 1

肯定的是，nullbyte ，\0（或%00如果你想測試一個查詢字符串），將有file_get_contents()停止處理字符串時，它擊中它。

所以，如果$_GET['filename']是../../../../../etc/passwd%00（如your_page.php?filename=../../../../etc/passwd%00），file_get_contents()將再也看不到結束.txt（它會看到它，但不會對其進行處理）。

不幸的是，sprintf在構建字符串時不會去除空字節。我不確定其他控制字符，但如果有的話 - 我總是建議去掉空字節。但是，更直觀的方法是構建允許字符的白名單並針對輸入執行preg_match()。

對於這個問題，您可以在構建的字符串上使用PHP的realpath()，它將確定真正被訪問的完整路徑。 因此，/absolute/path/../../../../etc/passwd\0.txt，傳遞給realpath()將返回/etc/passwd。然後，您可以對返回的值進行進一步驗證（例如，擴展名仍然是.txt，或者它位於指定的/必需的目錄中）。