利用PHP_SESSION_UPLOAD_PROGRESS上传webshell

最新推荐文章于 2024-08-27 18:11:07 发布
最新推荐文章于 2024-08-27 18:11:07 发布
阅读量852 收藏 1
点赞数
分类专栏: WEB 漏洞复现和分析 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzz/article/details/120450511
版权

0x01 环境配置&利用条件

image-20210922091243957

image-20210924100930479

环境分析

  • session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID

    我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag

  • session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。

所以:

  • 这个文件名是PHPSESSID=flag,文件名可控
  • 内容也是可以通过PHP_SESSION_UPLOAD_PROGRESS写入的
  • 如果有文件包含,就可以 getshell

一般情况还需要条件竞争

在默认情况下,session.upload_progress.cleanup是开启的
所以要是处理了所有POST数据,它就会清除进度信息,这个文件就没了

所以需要使用条件竞争:
要在没有处理完post数据的时候就要去触发

0x02 题目

这个题是第五空间CTF的一道WEB题

<?php

if(!isset($_GET['mode'])){
   
    highlight_file(__file__);
}else if($_GET['mode'] == "eval"){
   
    $shell = $_GET['shell'] ?? 'phpin
最低0.47元/天 解锁文章
god_Zeo
关注
专栏目录
5.1. PHP
Sumarua的博客
07-05 1万+
内容索引:5.1. PHP5.1.1. 后门5.1.1.1. php.ini构成的后门5.1.1.2. .user.ini文件构成的PHP后门5.1.2. 反序列化5.1.2.1. PHP序列化实现5.1.2.2. PHP反序列化漏洞5.1.2.3. 相关CVE5.1.2.3.1. CVE-2016-71245.1.3. Disable Functions5.1.3.1. 机制实现5.1.3.2. Bypass5.1.4. Open Basedir5.1.4.1. 机制实现5.1.5. 安全相关配置5.1.
原理+实践学习(PHP反序列化和Session反序列化)
Lemon's blog
05-04 3146
前言:PHP反序列化也是web安全中常见的一种漏洞,这次就先来大致了解一下PHP反序列化漏洞。 一、PHP序列化和反序列化 在学习PHP反序列化漏洞时,先来了解一下基础的知识。 (一)PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的...
利用Nginx的上传模块和上传进度模块实现网页上传文件
热门推荐
waden的专栏
12-04 2万+
最近做一个产品,需要实现从网页上传文件给服务器。一般情况下都是采用Ajax异步方式,创建一个iframe,在iframe里面把数据以form方式提交给后端的服务器脚本,由服务器脚本(比如PHP)来负责接收上传的数据。这种方式存在性能和效率的问题。所以,决定采用Nginx的上传模块来完成接收数据的功能,接收完数据后,再去转给后端脚本语言进行后续处理(比如:移动文件、插入文件的信息到数据库中)。同时,
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 748
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
利用session.upload_progress执行文件包含
最新发布
m0_70638961的博客
08-27 902
默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。session.upload_progress最初是PHP上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化SessionPHP也会自动初始化Session。按理来说这个脚本是没什么问题的。
php通过session实现upload_progress
prape's world!
01-07 1173
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
php-session文件包含和反序列化(对session.upload_progress利用)
unexpectedthing的博客
02-11 1725
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session的文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
PHP_Session文件上传利用:文件包含
soldi_er的博客
05-20 701
文章目录靶场实验环境说明Python脚本修改Python利用脚本本地测试 靶场实验 环境说明   (1)软件和文件位置说明: 项目 说明 文件包含文件的位置 http://127.0.0.1/include.php Session文件的相对存储位置 …/Extensions\tmp\tmp\ Python解释器版本 python2.7,22行和25行使用xrange() Python解释器版本 Python3.7,22行和25行使用range() 操作系统 Win10
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 322
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progressPHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
PHP session反序列化漏洞
weixin_39664643的博客
03-14 5569
PHP session反序列化漏洞 PHP session反序列化漏洞,就是当【序列化存储Session数据】与【反序列化读取Session数据】的方式不同导致session反序列化漏洞的产生 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器端 session通常是要配合cookie使用 因为HTTP的无状态性,服务端产生了session来标识当前
文件包含漏洞之日志利用
GHD_Nidhogg的博客
03-13 1263
Apache日志 某php文件存在本地文件包含漏洞,但无法上传文件,此时可以找到Apache路径,利用包含漏洞包含Apache日志文件也可以获取WebShell Apache运行后一般默认会生成两个日志文件,这两个文件是access.log(访问日志)和error.log(错误日志),Apache的访问日志文件记录了客户端的每次请求及服务器响应的相关信息。 127.0.0.1 - - [0...
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 954
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
浅谈PHP_SESSION_UPLOAD_PROGRESS和条件竞争的巧妙利用
qq_52737372的博客
07-20 994
前些阵子CISCN
PHP利用Session实现上传进度
风口上的猪博客
11-03 310
实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。 PHP手册对于session上传进度是这么介绍的: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
程序员六七的博客
05-17 359
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
sessionsession.upload_progress再认识
Monica的博客
10-25 1299
结合: WEB82-session文件包含 WEB263-session反序列化 进一步了解sessionsession.upload_progress知识 1、cleanup 只会清除session文件内容,不会清楚session文件 2、当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改 我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中.
php+uploadprogress实现上传进度功能
bjx18356163055的博客
02-13 1503
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足: § 1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4) § 2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而u
PHP中的Session Upload Progress 设置问题
超人学飞的日子
07-06 1934
在写CTF题目的时候遇到了session反序列化的漏洞,需要通过Session Upload Progress来写入seession的值。在本地测试时遇到了些问题:fool1.php:&lt;?phpini_set('session.serialize_handler', 'php_serialize');session_start();//$_SESSION['ryat'] = $_GET['r...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值