windows環境下uploaded

在早期的PHP版本中，上傳檔案很可能是通過如下的代碼實現的：

......
if (isset($_FILES['file'])) {
$tmp_name = $_FILES['file']['tmp_name'];
}
if (file_exists($tmp_name)) {
copy($tmp_name,$destfile);
}
......

但是很可能會被偽造一個$_FILES['file']數組出來，如果tmp_name的內容會被指定為/etc/passwd等敏感資訊的內容，那麼很容易出現安全問題。PHP在後來的版本中用is_uploaded_file() 和 move_uploaded_file()解決了這個問題，用is_uploaded_file()不僅會檢查$_FILES['file']['tmp_name']是否存在，而且會檢查$_FILES['file']['tmp_name']是否是上傳的檔案，這樣就使得偽造$_FILES變數變得不可能，因為指令碼會在檢查到$_FILES['file']['tmp_name']不是PHP上傳的時候終止執行。
偽造變得不可能了嗎？在很多的指令碼裡面我看到初試化部分就有@extract($_POST)之類的操作，以保證程式在register globals為off的環境下能繼續運行，這樣的環境下我們很輕鬆可以偽造$_FILES數組，甚至將原來的$_FILES數組覆蓋，但是想完全的偽造一個$_FILES數組還是很困難的，因為你無法饒過is_uploaded_file() 和 move_uploaded_file()。但是在windows下的php環境下測試時，我們發現php的臨時檔案很有規律，是C:\WINDOWS\TEMP\php93.tmp這種格式，上傳的時候檔案名稱字會是C:\WINDOWS\TEMP\phpXXXXXX.tmp這種格式變化，其中XXXXXX是十六進位的數字，並且是按照順序增加的，也就是說如果這次上傳的臨時檔案名稱是C:\WINDOWS\TEMP\php93.tmp，那麼下次就會是C:\WINDOWS\TEMP\php94.tmp，臨時檔案名稱變得有規律。但是我們可能不知道當前的檔案名稱是什麼，這可以通過php自身的錯誤機制泄露出來，譬如我們將臨時檔案拷貝到一個沒有許可權的目錄或者在目標檔案裡包含檔案系統禁止的字元就可以將當前的臨時檔案名稱字給泄露出來，當然前提是沒有錯誤抑制處理。
那麼到底如何饒過is_uploaded_file() 和 move_uploaded_file()呢？看看php中is_uploaded_file()部分的代碼：

PHP_FUNCTION(is_uploaded_file)
{
zval **path;
if (!SG(rfc1867_uploaded_files)) {
  RETURN_FALSE;
}
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &path) != SUCCESS) {
  ZEND_WRONG_PARAM_COUNT();
}
convert_to_string_ex(path);
if (zend_hash_exists(SG(rfc1867_uploaded_files), Z_STRVAL_PP(path), Z_STRLEN_PP(path)+1)) {
  RETURN_TRUE;
} else {
  RETURN_FALSE;
}
}

它是從當前的rfc1867_uploaded_files雜湊表中尋找看是否當前的檔案名稱是否存在。其中rfc1867_uploaded_files儲存了當前php指令碼運行過程中由系統和php產生的有關檔案上傳的變數和內容。如果存在，就說明指定的檔案名稱的確是本次上傳的，否則為否。
php有個很奇怪的特性就是，當你提交一個上傳表單時，php在做處理之前這個檔案就已經被上傳到臨時目錄下面，一直到php指令碼運行結束的時候才會銷毀掉。也就是說，你即使向一個不接受$_FILSE變數的php指令碼提交這樣一個表單，$_FILSE變數依然會產生，檔案依然會被先上傳到臨時目錄。問題就產生了。下面的指令碼可能能說明這個問題：

<?
$a=$_FILES['attach']['tmp_name'];
echo $a.".............";
$file='C:\\WINDOWS\\TEMP\\php95.tmp';
echo $file;
if(is_uploaded_file($file)) echo '..................Yes';
?>

其中C:\\WINDOWS\\TEMP\\php95.tmp是我猜測的臨時檔案名稱字，當時，測試這個指令碼的時候我們需要向它上傳一個檔案或者是100個檔案，使得其中一個臨時檔案名稱為C:\\WINDOWS\\TEMP\\php95.tmp。如果此刻指令碼有extract操作，我們就可以很方便的偽造出一個$_FILES變數了。不是嗎？可能要問偽造$_FILES變數有什麼作用，我們就可以產生原來程式不允許的檔案名稱了，php在處理上傳的時候會對原來的檔案名稱有一個類似於basename()的操作，但是一旦可以偽造之後我們就可以輕易的在檔案名稱之內加\啊../啊等等你所喜歡的任何東西
實際利用可能有點苛刻，但是也總算是php一點瑕疵吧，呵呵。