ASP/VBScript中CHR(0)的由来以及带来的安全问题
提醒:本页面将不再更新、维护或者支持,文章、评论所叙述内容存在时效性,涉及技术细节或者软件使用方面不保证能够完全有效可操作,请谨慎参考!
CHR(0)是个特殊的字符,当然在Visual Basic或者VBScript中可以直接用vbNullChar表示,从数值意义上来说这个字符就是数字0。该字符标识着字符串的结束,也称作null-terminated,这个给脚本编程尤其是ASP编程带来了一定的麻烦,很多人可能会问为什么要保留这个特殊字符,我们可以追溯到编写操作系统的语言之一C语言,学过C/C++的童鞋可能知道,在字符串中标识一个字符串结束靠的就是结尾的\0(NULL或者0),否则不能称作为字符串,只能说是字符串数组,任何对于字符串操作的函数如果传入的字符串丢掉了这个结束NULL字符,都有可能会出现异常。
char strbuf[] = "Hello"
// 等价于
char strbuf[] = {'H', 'e', 'l', 'l', 'o', '\0'}字符串长度的判断函数简单的实现之一:
size_t strlen_a(const char * str) {
size_t length = 0;
while (*str++ )
++length;
return length;
}可以看出while循环是以0为结束标志的,那么这里的结束标志就是字符串结尾的\0字符。这种字符串的标识方法可以说是有其道理的,因为C语言这类比较底层的语言,需要的是执行的效率,而且更好的存储空间控制,也就是说我们对于字符串变量是需要自己掌握和分配存储字符串的空间的,一般字符串分配空间要远远大于字符串的长度,并且C语言auto方式分配的变量在未初始化前是填充的垃圾值,这时向这个空间装入我们的字符串,只需要简单的设置字符串最后一个为\0字符就可以了,有效避免了整个空间的操作,还有一个原因就是输出这个字符串时必须说明字符串到哪里结束,总不能输出整个字符串存储空间的值吧,呵呵,可能解释有点牵强。
好,我们再来看为什么ASP/VBScript中保留了这个特性,我们知道VBScript是VB(Visual Basic)的一个子集,VB是什么,VB是做Windows应用程序开发的,说到Windows应用程序开发那么就可能会调用到Windows系统的API,而这些API函数则大多是用C语言编写的,很明显为了VB能够兼容这些API,必然字符串要引入CHR(0)字符也就是vbNullChar,同时也要有C语言字符串处理的特性,就是遇到CHR(0)就标识着字符串结束,无论接下来是什么内容,最经典的利用CHR(0)字符的WinAPI函数调用就是 GetLogicalDriveStrings ,这个API获取的驱动器字符串就类似于c:\<null>d:\<null><null>,每两个路径之间都间隔一个 null-terminated,也就是CHR(0),所以需要特殊处理,如果说VB不支持CHR(0)字符,那么这个API就用不了了,VB的应用程序编写就大打折扣。不过特别的是VB的子集VBScript保留了这个特性,目前我不太清楚在VBScript脚本中Null字符是否有必要,但是这给我们脚本编写有其是ASP带来了一定的麻烦,甚至是安全隐患。
比如说这样一个函数用来取文件扩展名:
' 该函数仅供演示,请勿用于生产环境
Function GetFileExtensionName(filename)
Dim lastdotpos
lastdotpos = InstrRev(filename, ".")
GetFileExtensionName = Right(filename, Len(filename) - lastdotpos)
End Function这个函数只用来演示,通过这个函数我们可以取到一个上传文件的扩展名,比如说sample.jpg,通过上面的函数获得jpg,如果恶意攻击者构造这么一个上传文件名sample.asp<null>.jpg,也就是"sample.asp" & CHR(0) & ".jpg",则上面的函数依旧获取扩展名为jpg,而ASP由于VBScript特性,会按照CHR(0)进行字符串截断,那么上传后文件名变成了sample.asp,这是相当危险的。通常的做法就是过滤掉CHR(0),比如下面的函数:
Function filterFileName(fileName)
filterFileName = Replace(fileName, vbNullChar, "")
End Function不过如果出现这种情况,则说明用户可能在尝试利用上传漏洞攻击系统,所以我认为比较妥当的做法是发现包含CHR(0),则禁止文件上传,避免过滤后恶意文件依旧上传了,虽然恶意文件不起作用。查询了正则库 RegExLib.com ,我找到了比较好的判断校验文件名的办法,接下来提供这个比较通用的正则匹配文件名是否合法的函数供大家参考:
Function IsAcceptableFileName(fileName)
Set objRegExp = New RegExp
objRegExp.IgnoreCase = True
objRegExp.Global = False
objRegExp.Pattern = _
"^(?!^(PRN|AUX|CLOCK\$|CONFIG\$|" & _
"NUL|CON|COM\d|LPT\d|\..*)" & _
"(\..+)?$)[^\x00-\x1f\\?*:\"";|/]+$"
IsAcceptableFileName = objRegExp.Test(fileName)
Set objRegExp = Nothing
End FunctionIsAcceptableFileName函数可以检测文件名是否包含一些非法的字符比如0x00~0x1F以及?*\/这些禁止的路径字符,同时还能检测Windows下特殊的设备名,比如PRN、CON、NUL等,避免恶意设备名文件上传。
2011年12月20日更新
关于NULL字符上传漏洞攻击实现代码请参考 《ASP上传漏洞之利用CHR(0)绕过扩展名检测脚本》
IsAcceptableFileName 这个很有用,收下了. 之前我都是省去了文件名检测,直接生成新文件名的.
@shirne 恩,直接生成新文件名也是比较稳妥的做法,避免使用攻击者恶意构造的文件名,我一般采取五步,1、先检测文件名是否合法。2、再次过滤一些可能的危险字符(有第1步,这一步可能多余,不过感觉稳妥一点吧)。3、提取并判断文件扩展名是否合法。4、重新生成新文件名并上传。5、在文件大小允许的情况下,判断文件内容,判断是否有指定格式文件特征码,比如GIF文件开头有GIF89a等,并且再次判断文件内部是否有<%、<!--、<script等可能的恶意标签(假设只允许上传图片),如果存在则删除已上传的文件并记录日志。
其实这并不是vbscript的问题,vbscript内部以BSTR来表示字符串,BSTR是兼容NUL字符的。问题出在运行时环境,即ASP引擎在处理输入或者输出时,以NUL作为结束符了。
@Demon
感谢你的回复,我分别使用了下面的测试代码进行测试:
1.第一段由于使用了runat="server",所以交由ASP调用JScript脚本引擎进行解释执行的,\x00就是NULL,事实发现显示出现截断。
<script language="JScript" runat="server">
// 服务器端ASP执行
Response.Write("Hello \x00 World!");
</script>
2.这里交由浏览器调用客户端脚本引擎直接执行脚本,有趣的是IE里由于\x00发生截断,而在FF下没有截断,字符串完整显示,IE的脚本解释引擎也是调用的JScript.dll,可见是和ASP调用的一样,而FF、Chrome等浏览器都有自己独立的JavaScript解释引擎,所以结果不一样。
<script type="text/javascript">
// 客户端浏览器执行,FF或者IE效果不一样
document.write("Hello \x00 World!");
</script>
3.这里也是交由浏览器调用客户端脚本引擎直接执行脚本,下面的代码只能运行于IE下,直接由IE调用VBScript.dll解释,依旧发生截断。若直接编写MsgBox "Hello " & Chr(0) & " World"脚本并另存为*.vbs,双击执行依旧发生截断。
<script type="text/vbscript">
' 客户端浏览器执行,IE Only
Document.Write "Hello " & Chr(0) & " World"
</script>
本来想在ASP中使用Python脚本测试的,结果捣鼓了半天没有配置好。不过我认为一般情况下ASP的NULL字符截断是由微软的两套脚本解释引擎VBScript.dll和JScript.dll引起的,ASP只是负责传入Response、Request等5类对象,字符串处理还是由指定的脚本引擎完成的。BSTR可能为了兼容ActiveX/COM技术。要是能把Python+ASP环境调好可能会更好说明这点。
事实证明问题的确出在ASP上,就算用Python也无济于事。 http://demon.tw/programming/python-asp.html
@Demon 看来是和ASP有关系了,我还在想是不是因为ASP是利用ActiveX/COM技术调用解释引擎的原因。
呵呵,不要再纠结这个问题了,ASP早已经淡出历史舞台。
@Demon 是啊,时光荏苒,当年风光无限的ASP时代已经过去了,不由得怀念起当年摆弄ASP的场景。
不属于那个时代,没摆弄过ASP。
[...]前天无意中看到“王晔的流水账”里一篇名为《ASP/VBScript中CHR(0)的由来以及带来的安全问题》的文章,里面有这么一段:[...]
哈哈,还是有细心的人. 事实应该是,微软的相关解析引擎(ASP,VBS,Jscript)都有这个问题.(我猜测,有时间再测试)
python+asp的环境,我之前也调试过
http://shirne.com/?cid=16&id=100
ActivePython不管用,要装Python for Windows Extension.
ActivePython 2.5还是可以用的,2.6没有测试过,2.7以上用不了。
哦,我没试过,直接下载2.7用的。 3.X是不是只有商业版的??不知道好不好用。
有免费的3.2.2.3版。 http://www.activestate.com/activepython/downloads
我没认真看。--! 下面那个下载列表里,中间放了个3.X
@Demon 我也是用的这个配置的,运行脚本时只单纯的显示HTTP 500错误,没有提供详细的信息,环境Win7+IIS7。
我这里是Windows 7 + IIS 7 + ActivePython 2.5.6.10,没有问题。之前用2.7.2.5,一直HTTP 500错误。
@Demon 看来是版本问题,我这里出错的也是2.7.2.5,谢谢提醒:-)
我文章里面说一定要用ActivePython 2.5.6.10的。。。你没认真看。。。
@Demon 呵呵,之前是搜索的谷歌的一篇文章,看来还是你的文章准确点:-)
Jscript的也有?那么应该如何规避?
文中已经给出方案了,过滤'\0'或者正则判断文件名。
谢谢王兄!
突然想到一个问题,如果恶意攻击者构造一个上传文件名sample.asp.jpg,那么ASP会以NUL截断成sample.asp,传到VBS变量的时候已经没有NUL了,那上面的GetFileExtensionName返回的是asp,又有何危险呢?
@Demon http://wangye.org/blog/archives/292/ 这个漏洞是可能的
[...]标题: ASP无组件上传类大全作者: Demon链接: http://demon.tw/programming/asp-upload-class.html协议: 本博客的所有文章,都遵守“署名-非商业性使用-相同方式共享 2.5 中国大陆”协议条款。最近看了几篇关于 ASP 文件上传漏洞的文章,“临风小筑”中的《网络广泛流传的一个asp上传类的一处BUG》,“王晔的流水账”中的《ASP上传漏洞之利[...]
[...]现在再去看《ASP/VBScript中CHR(0)的由来以及带来的安全问题》、《ASP上传漏洞之利用CHR(0)绕过扩展名检测脚本》、《ASP缺陷—-一个特殊字符chr(0)》、《用Python脚本写ASP页面》,应该就不会有疑问了吧。[...]
[…] 现在再去看《ASP/VBScript中CHR(0)的由来以及带来的安全问题》、《ASP上传漏洞之利用CHR(0)绕过扩展名检测脚本》、《ASP缺陷—-一个特殊字符chr(0)》、《用Python脚本写ASP页面》,应该就不会有疑问了吧。 […]