利用PHP_SESSION_UPLOAD_PROGRESS上传webshell

最新推荐文章于 2022-09-07 15:56:19 发布
最新推荐文章于 2022-09-07 15:56:19 发布
阅读量754 收藏 1
点赞数
分类专栏: WEB 漏洞复现和分析 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/120450511
版权

0x01 环境配置&利用条件

image-20210922091243957

image-20210924100930479

环境分析

  • session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID

    我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag

  • session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。

所以:

  • 这个文件名是PHPSESSID=flag,文件名可控
  • 内容也是可以通过PHP_SESSION_UPLOAD_PROGRESS写入的
  • 如果有文件包含,就可以 getshell

一般情况还需要条件竞争

在默认情况下,session.upload_progress.cleanup是开启的
所以要是处理了所有POST数据,它就会清除进度信息,这个文件就没了

所以需要使用条件竞争:
要在没有处理完post数据的时候就要去触发

0x02 题目

这个题是第五空间CTF的一道WEB题

<?php

if(!isset($_GET['mode'])){
    highlight_file(__file__);
}else if($_GET['mode'] == "eval"){
    $shell = $_GET['shell'] ?? 'phpinfo();';
    if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker");
    eval($shell);
}


if(isset($_GET['file'])){
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker");
    include $_GET['file'];
}


function filter($var): bool{
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"];

    foreach($banned as $ban){
        if(strstr($var, $ban)) return True;
    }

    return False;
}

function checkNums($var): bool{
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $cnt = 0;
    for($i = 0; $i < strlen($alphanum); $i++){
        for($j = 0; $j < strlen($var); $j++){
            if($var[$j] == $alphanum[$i]){
                $cnt += 1;
                if($cnt > 8) return True;
            }
        }
    }
    return False;
}

?>

0x03 利用

上传HTML:

name 要对应session.upload_progress.name中的 PHP_SESSION_UPLOAD_PROGRESS

image-20210924103445313

HTML代码:

<form action="http://xxxxxxxx.com:8088/" method="POST" enctype="multipart/form-data">
        <input type="text" name="PHP_SESSION_UPLOAD_PROGRESS" value="zzzz" />
        <input type="file" name="file" id="file">
        <input type="submit" name="submit" value="submit">

然后抓包,在里面插入我们的一句话木马

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dwKWo8Vo-1632451391682)(…/Library/Application Support/typora-user-images/image-20210924104028736.png)]

所以文件地址就是 /tmp/sess_zz5
最终利用文件包含获取webshell

image-20210924103851551

image-20210924103915529

god_Zeo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php.rar_webshell_网站 搜索功能
09-14
php类型的webshell,包括目录查询、相同网站搜索、弱口令搜索等功能,
php-session文件包含和反序列化(对session.upload_progress利用)
unexpectedthing的博客
02-11 1594
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session的文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
php上传完没进度条_php如何实现上传进度条
weixin_29027305的博客
03-08 133
php实现上传进度条的方法:首先向服务器端上传一个文件;然后用PHP将此次文件上传的详细信息存储在session当中;接着用Ajax周期性的请求一个服务器端脚本;最后通过浏览器端的Javascript显示更新进度条即可。实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。PHP手册对于session上传进度是这么介绍的:当 session...
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 278
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progressPHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 913
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
CTF_Web长征路细刷题笔记
Mark的博客
01-06 4265
文件包含一、2018 XCTF FINALS —— babyphp二、 一、2018 XCTF FINALS —— babyphp 0x01信息收集 打开环境可以看到几个关键点,首先便是看到有两个可控变量 1: $_GET[‘function’] 执行函数 2: $_POST[‘name’] 可控制session值内容 其次又看到include($file);存在文件包含,ini_set限定了文件包含目录 最后可见call_user_func($func,$_GET)这个函
Decryption-WEBSHELL.rar_asp webshell_webshell_webshell asp
09-24
坊间流传的ASP WEBSHELL几乎全部加密,而且带有后门,此版本为开源解密版.而且后门以剔除.
wso_webshell_php_
10-01
Webshell
caidao.rar_caidao web_webshell_入侵检测系统
09-15
web系统管理工具,用于入侵检测,中国开发者使用。
bak.rar_aps_asp webshell
09-19
WEBSHELL APS 源 码 解 压 打 包
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
php索引未变量,PhP 5.4中的PhP上传进度无效.会话变量未设置
weixin_31076517的博客
03-21 55
我在一开始就遇到了PhP文件上传进度监视器的问题.首先,这是相关的PhP.ini设置(指令,本地值和主值):session.upload_progress.cleanup On Onsession.upload_progress.enabled On Onsession.upload_progress.freq 1% 1%session.upload_progress.min...
php通过session实现upload_progress
prape's world!
01-07 1144
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
session.upload_progress文件包含
Aiwin的博客
05-29 787
session.upload_progress文件包含
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 438
利用session.upload_progress进行文件包含
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 3984
前言 又一种新的文件包含利用方法,记录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含和反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
红队武器库:fastjson小于1.2.68全漏洞RCE利用exp复现
热门推荐
god_Zeo的安全博客
07-04 5万+
0x01漏洞介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 0x02影响范围 Fastjson < 1.2.68 Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有 0x03漏洞复现 下面以Fastjson 1.2.47 为例子,因为vulhub有现成的环境十分方便
CVE-2020-0796_RCE漏洞exp复现(非蓝屏)
god_Zeo的安全博客
06-05 1万+
0x00漏洞介绍 漏洞介绍 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 影响范围: Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server Core installation)
Coremail-0day敏感文件泄露漏洞送附批量检测脚本
god_Zeo的安全博客
06-17 1万+
漏洞介绍 Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统,开始研发于1999年 [1] ,其前身为中国第一套中文电子邮件系统163\126,目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商,以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业,截止2019年,Coremail邮件系统产品在国内已拥有10亿终...
利用webshell流量检测实验演示各种php webshell变形方法绕WAF
最新发布
07-28
对于利用webshell流量检测实验演示各种php webshell变形方法绕WAF的问题,根据引用\[1\]和引用\[2\]的内容,可以提供以下回答: Webshell是一种用于获取对服务器某种程度上的操作权限的工具,而php webshell是一种通过网站端口对网站服务器进行操作的权限。在绕过Web应用程序防火墙(WAF)的过程中,可以采用多种php webshell变形方法。 其中,管理权限拿webshell(进后台)的方法包括正常上传webshell、数据库备份拿webshell、突破本地验证拿webshell上传其他脚本类型拿webshell、00截断拿webshell利用解析漏洞拿webshell利用编辑器拿webshell、网站配置插马拿webshell、通过编辑模板拿webshell、修改脚本直接拿webshell、数据库命令执行拿webshell、添加静态页面拿webshell、文件包含拿webshell等方法。\[2\] 而普通权限拿webshell(不进后台)的方法包括0day拿webshell、修改网站上传类型配置来拿webshell、IIS写入权限拿webshell、远程命令执行拿webshell上传漏洞拿webshell、SQL注入拿webshell等方法。\[2\] 综上所述,利用webshell流量检测实验演示各种php webshell变形方法绕WAF的过程中,可以根据具体情况选择适合的方法来绕过WAF的检测。 #### 引用[.reference_title] - *1* [PHP常见过waf webshell以及最简单的检测方法](https://blog.csdn.net/weixin_31900373/article/details/115193111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [拿webshell基础方法总结](https://blog.csdn.net/m0_46230316/article/details/105644775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值