Hoy en el blog de RSnake (ha.ckers.org), me enteré de una vulnerabilidad que Michael Schramm (bitchiller.de) ha descubierto en Fck-editor, y una falla de implementación en Apache y en IIS, relacionado con los ADS (Alternate Data Streams) del NTFS.

Practicamente, podemos engañar a un sistema programado con un "blacklist" para subir archivos.. es decir.. supongamos que tenemos el siguiente programa en PHP:
Este es un sistema que proteje al servidor de que subar archivos PHP con "black listing", es decir, permite todo menos lo que esta en la "lista negra".

En fin.. fuera de que podemos explotar muchas otras vulnerabilidades, aqui lograremos subir un archivo .php, y hacer que este programa no lo detecte.

Para empezar, al tratar de enviar un PHP, sucederá esto:

que lastima no? no podemos subir archivos PHP, sinembargo, existe una funcionalidad en el Sistema de Archivos NT, que nos permite generar contenido "oculto" en otros archivos.. (http://www.securityfocus.com/infocus/1822).

Todos los archivos contienen almenos 1 "stream" llamado $DATA, y es donde esta el contenido del archivo.. de esta forma, por ejemplo en C, si hacemos:

fopen("archivo.php::$DATA","w");

esto regresará el mismo handle a si hicieramos

fopen("archivo.php","w");

o en BATCH:

type archivo.php

regresara lo mismo que

type archivo.php::$DATA

entonces, que pasará si subimos un archivo con el nombre..
archivo.php::$DATA? pues en windows, y SOLO EN WINDOWS, el archivo será aceptado como válido, y será guardado solo como archivo.php.

Miremos el ejemplo:


el archivo se subió con éxito,  y por algun motivo que desconozco, me regresó la petición como si hubiera sido hecha a index.php.

Bueno, es todo chavos

Saludos!!

Excelente, y muy interesante, ahora se subir archivos php si me los restringen

Ademas, mejore mi sistema de seguridad implementando este pequeño codigo:

$archivo =  basename($_FILES['archivo']['name']);
$extension = strtolower(substr($archivo,-3));
if($extension != "php" && stripos($archivo,":$")===false){
   //Subir
}else{
  exit("Se prohiben juax0rs");
}
 

Muy bueno de verdad!
Saludos

Solo puse una pequeña parte del codigo
Aca esta toda completa:

if($extension != "php" && $extension != "asp" && $extension != "cgi" && $extension != "html" && $extension != "htm" && $extension != "php4" && $extension != "phtml" && $extension != "exe" && $extension != "dll" && $extension != "aspx" && $extension != "php3" && $extension != "shtml" && $extension != "pl" && stripos($archivo,":$")===false){
 

Acepto sugerencias jajaja naa, mejor lo dejo asi...
** Editado x'D por falta de comprension --

Saludos !

Bueno, ya lo arregle poniendo esto:

if (stripos($archivo,".")!=0){ /*Subir*/ }else{ echo "Ju4x0r a la vista"; }
 

Ahora si creo que quedo el filtro infalible xD
saludos

Ahora voy a snifear a ver que es lo que pasa

Para que cookies si no las voy a crear ? jeje
No importa que suban archivos xml, es lo de menos, lo importantes eran los otros, los que se podian ejecutar desde el servidor, no el .html, .htm, si no, la serie de php, el perl y los asp, claro que tambien el del alternate data stream.
Ya esta completo mi filtro xDD

Saludos