SESSION_UPLOAD_PROGRESS 的利用

原创 于 2025-04-02 19:57:47 发布 · 505 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #web安全 #网络安全 #CTF

刚刚做了一道题里面用到了文件包含的SESSION_UPLOAD_PROGRESS 的利用

是这道题捏

[NPUCTF2020]ezinclude

具体解题我就不贴了,主要是做个笔记

Session Upload Progress 最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中,此时即使用户没有初始化Session,PHP也会自动初始化Session。而且,默认情况下session.upload_progress.enabled是为On的,也就是说这个特性默认开启。所以,我们可以通过这个特性来在目标主机上初始化Session。

从上面官方的案例和结果中可以看到,session中一部分数据(session.upload_progress.name)是用户自己可以控制的。那么我们只要在上传文件的时候,同时POST一个恶意的字段 PHP_SESSION_UPLOAD_PROGRESS,目标服务器的PHP就会自动启用Session,Session文件将会自动创建。

PHP SESSION 的存储

Session会话储存方式

PHP将session以文件的形式存储在服务器某个文件中,可以在php.ini里面设置session的存储位置

默认路径

/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID

虽然说正常情况下这个SESSID是随机的,但是我们可以通过在http包里修改cookie值来让SESSID变成固定的

这样我们知道了临时文件的名字后,如果此时目标网站还存在文件包含漏洞的话,我们便可以配合文件包含漏洞来Getshell。其原理大致就是通过 PHP_SESSION_UPLOAD_PROGRESS 在目标主机上创建一个含有恶意代码的Session文件,之后利用文件包含漏洞去包含这个我们已经传入恶意代码的这个Session文件就可以达到攻击效果。

那我们怎么传入恶意文件呢

因为 PHP的 session.upload_progress.cleanup = on 这个默认选项会有限制。即文件上传结束后,PHP 将会立即清空对应Session文件中的内容,这就导致我们在包含该Session的时候相当于在包含了一个空文件,没有包含我们传入的恶意代码。所以我们需要条件竞争,赶在文件被清除前利用包含即可。

import io
import requests
import threading

sessid = 'whoami'

def POST(session):
    f = io.BytesIO(b'a' * 1024 * 50)
    session.post(
        'http://192.168.43.82/index.php',
        data={"PHP_SESSION_UPLOAD_PROGRESS":"123"},
        files={"file":('q.txt', f)},
        cookies={'PHPSESSID':sessid}
    )

with requests.session() as session:
    while True:
        POST(session)
        print("[+] 成功写入sess_whoami")

这是一个自动化利用的脚本

当这个脚本运行结束后,恶意文件就保留在了服务器中,我们只要用文件包含解析这个恶意文件就能getshell

ps:这个功能在php5.4后才加入

session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 596
利用session.upload_progress进行文件包含
利用PHP_SESSION_UPLOAD_PROGRESS上传webshell
god_Zeo的安全博客
09-24 958
0x01 环境配置&利用条件 环境分析 session.use_strict_mode默认值为0,此时用户是可以自己定义Session ID的 我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag session.upload_progress.prefix由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。 所以: 这个文件名是PHPSESSID=flag,文件名
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
php-session文件包含和反序列化(对session.upload_progress利用)
unexpectedthing的博客
02-11 1936
文章目录前言session的简介PHP中session的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session的文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
用PHP Session和Javascript实现文件上传进度条
huank_dmy的博客
07-13 627
用PHP Session和Javascript实现文件上传进度条Web应用中常需要提供文件上传的功能。典型的场景包括用户头像上传、相册图片上传等。当需要上传的文件比较大的时候,提供一个显示上传进度的进度条就很有必要了。在PHP 5.4以前,实现这样的进度条并不容易,主要有三种方法: 1、使用Flash, Java, ActiveX 2、使用PHP的APC扩展 3、使用HTML5的File AP
[CTFSHOW]利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含
Y4tacker的博客
11-02 2407
文章目录代码审计脚本参考文章 代码审计 考点是:利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含 通过观察代码,可以看到过滤了大部分的文件包含函数,这里我们利用PHP_SESSION_UPLOAD_PROGRESS加条件竞争进行文件包含,具体原理可以看看下面这篇参考文章 <?php if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file);
session.upload_progress反序列化学习
..
03-10 1996
Session的配置选项和存储方式 在php.ini中存在四项配置项: session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来...
php通过session实现upload_progress
prape's world!
01-07 1231
在php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用php的session(PHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
程序员六七的博客
05-17 468
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
session.upload_progress文件包含
Aiwin的博客
05-29 1037
session.upload_progress文件包含
利用session.upload_progress执行文件包含
m0_70638961的博客
08-27 1077
默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化Session,PHP也会自动初始化Session。按理来说这个脚本是没什么问题的。
php7 uploadprogress,PHP基于session.upload_progress 实现文件上传进度显示功能详解
weixin_30209891的博客
03-12 391
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下:介绍session.upload_progress 是PHP5.4的新特征。当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以...
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 897
目录:1.session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1.session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 4703
前言 又一种新的文件包含利用方法,记录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含和反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初 · mochu7
05-07 1140
本来的想法是构造shell被日志文件记录,然后包含日志文件来getshell,但是通过很多配置文件找到日志文件位置竟然无法包含,这就挺迷的。PS:如500个包没有一个执行的,数量可以继续加,我这里测试的时候500是有个别个包能执行的。那我们就可以通过把上传的文件改为shell内容,然后通过包含来执行我们shell内容,至于。,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,左右个包即可有执行回显,类似条件竞争,抢在被清除前包含执行。然后想起来,前些日子安恒月赛的时候,当。
sessionsession.upload_progress再认识
Monica的博客
10-25 1391
结合: WEB82-session文件包含 WEB263-session反序列化 进一步了解sessionsession.upload_progress知识 1、cleanup 只会清除session文件内容,不会清楚session文件 2、当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改 我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中.
php+uploadprogress实现上传进度功能
bjx18356163055的博客
02-13 1559
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现. 虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足: § 1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4) § 2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而u
session.upload_progress文件包含漏洞
leekos的博客,分享web安全相关知识~
06-02 885
之前学习了该漏洞,但是没有做笔记,导致容易遗忘。在此用一个题目来理解漏洞以下是session.upload_progress.enabled可以控制是否开启session.upload_progress功能session.upload_progress.cleanup可以控制是否在上传之后删除文件内容session.upload_progress.prefix可以设置上传文件内容中的前缀session.upload_progress.name的值即为session中的键值。
upload_flag
最新发布
06-14
### 与 `upload_flag` 相关的技术内容及解决方案 在实现或处理 `upload_flag` 功能时,通常需要考虑文件上传的流程控制、安全性以及状态管理。以下是相关的技术内容和解决方案: #### 1. 文件上传的基本流程 文件上传通常包括以下几个部分: - **前端表单**:通过 HTML 表单提交文件数据,确保表单中包含 `enctype="multipart/form-data"` 属性[^4]。 - **后端接收**:使用编程语言(如 PHP、Python 等)接收文件,并将其保存到服务器指定目录。 - **状态标志管理**:引入 `upload_flag` 来标识上传的状态,例如是否成功、失败或其他特殊状态。 #### 2. 使用 `upload_flag` 的场景 `upload_flag` 可以用于以下场景: - 标识上传过程中的状态,例如 `0` 表示未开始,`1` 表示正在上传,`2` 表示上传完成。 - 在多步骤上传过程中,记录每个步骤的状态,确保流程完整性。 - 提供反馈信息给用户,告知上传结果。 #### 3. 实现 `upload_flag` 的方法 以下是一个基于 Python Django 框架的示例,展示如何实现 `upload_flag` 功能: ```python def upload_file(request): upload_flag = 0 # 初始化上传标志为未开始 if request.method == 'POST' and request.FILES.get('upload_file'): try: uploaded_file = request.FILES['upload_file'] # 验证文件类型和大小 if uploaded_file.size > 10 * 1024 * 1024: # 限制文件大小为10MB upload_flag = -1 # 标志为失败 return JsonResponse({'status': 'error', 'message': 'File size exceeds limit', 'upload_flag': upload_flag}) # 保存文件到服务器 with open(f'media/{uploaded_file.name}', 'wb+') as destination: for chunk in uploaded_file.chunks(): destination.write(chunk) upload_flag = 2 # 标志为上传完成 return JsonResponse({'status': 'success', 'message': 'File uploaded successfully', 'upload_flag': upload_flag}) except Exception as e: upload_flag = -2 # 标志为异常 return JsonResponse({'status': 'error', 'message': str(e), 'upload_flag': upload_flag}) else: upload_flag = 1 # 标志为上传中 return JsonResponse({'status': 'processing', 'message': 'Upload in progress', 'upload_flag': upload_flag}) ``` #### 4. 安全性注意事项 在实现文件上传功能时,需特别注意安全性问题: - **文件名验证**:避免用户通过文件名注入恶意路径,例如利用 `/` 或 `../` 进行目录遍历攻击[^1]。 - **文件类型检查**:确保上传的文件类型符合预期,防止上传恶意脚本文件[^2]。 - **存储路径隔离**:将上传文件存储在独立的目录中,并设置适当的权限,避免被直接访问。 #### 5. 全局变量管理 如果需要在多个视图中共享 `upload_flag` 的状态,可以将其设置为全局变量或存储在会话中。例如,在 Django 中可以通过上下文处理器实现[^4]: ```python def settings(request): context = { 'upload_flag': request.session.get('upload_flag', 0), # 默认值为0 } return context ``` --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值