可以绕过 file_get_contents 参数的附加文件后缀吗？

Question

考虑下面的代码

<?php
// warning: this code is unsafe and for demonstrational purposes only,
// do not use in a production environment
$filename = $_GET['filename']; 
$extension = 'txt';
$path = '/absolute/path';
$fullFilename = sprintf('%s/%s.%s', $path, $filename, $extension);
echo file_get_contents($fullFilename);

我们都知道（至少我希望如此）预先设置绝对路径绝不是防止离开给定路径的充分方法 - 只需在查询字符串中插入一个或多个“../”即可到达文件系统上的任何路径。

我的问题是：与给定的示例类似，$_GET['filename'] 是否也可以通过绕过给定扩展后缀的方式进行操作，即 .txt 以外的文件是回响？我特别想到某些控制字符绕过附加的文件扩展名，就像../ 处理前缀一样。

我尝试在查询字符串中添加一些控制字符（例如用于删除的 ASCII 代码 127）或使用 &&、| 或 > 连接两个文件名，但都无济于事，我想知道是否存在完全有这种可能。

（顺便说一句，我想补充一点，这个问题并不是为了利用系统而提出的。这纯粹是我最近想到的一个假设性问题。）

Answer 1

当然，nullbyte、\0（或 %00，如果您想在查询字符串中进行测试）将使file_get_contents() 在遇到字符串时停止处理。

所以，如果$_GET['filename'] 是../../../../../etc/passwd%00（例如your_page.php?filename=../../../../etc/passwd%00），file_get_contents() 将永远不会看到结尾 .txt（它会看到它，但不会处理它）。

遗憾的是，sprintf 在构建字符串时并没有去除空字节。我不确定其他控制字符，但如果有的话 - 我总是建议剥离空字节。然而，更直观的方法是建立一个允许字符的白名单并对输入执行preg_match()。

在那个单上，您可以在构建的字符串上使用 PHP 的realpath()，它将确定真正被访问的完整路径。 所以，/absolute/path/../../../../etc/passwd\0.txt，传递给realpath() 将返回/etc/passwd。然后，您可以对返回的值进行进一步验证（例如，扩展名是否仍为 .txt 或者是否在指定/必需的目录中）。