标签：Web 包含 文件 upload 国赛 session progress php

Web题目已经提示是文件包含 打开网页 是php代码 里边post接受两个参数 分别是cf和field 既然是文件包含那就要有文件能去被包含

使用dirsearch对网页进行扫描 发现.listing网页 于是进行访问 里边有提示index.php和you_can_seeeeeeee_me.php 在进行访问后者 发现是phpinfo 只是文件名改了一下

在进行文件包含 首先尝试cf的post传值 cf=../../../../../var/www/html/you_can_seeeeeeee_me.php 发现能包含phpinfo网页 然后就没有思路了......

去看了一下phpinfo 试试能不能找到一些有用的信息 ctrl+g搜索session 发现了存储临时session的路径

并且

　　session.upload_progress.enabled = on
　　session.upload_progress.cleanup = on
　　session.upload_progress.prefix = "upload_progress_"
　　session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
　　session.upload_progress.freq = "1%"
　　session.upload_progress.min_freq = "1"
　　<session.use_strict_mode=off>

于是决定尝试session.upload_progress文件包含 我们可以利用session.upload_progress将恶意语句写入session文件 从而包含session文件 前提是要知道session文件的存放位置 但是我们目前已经找到了路径

因为session.use_strict_mode默认值为0 此时用户是可以自己定义Session ID的 我们可以在bp里抓包 在请求头中加入 Cookie: PHPSESSID=flag 这样我们生成的临时session文件的名字就叫做sess_flag 此时session文件里就是我们的恶意代码 我们在利用文件包含漏洞去包含该文件(被包含的文件都会被当作php文件来执行)
但是因为session文件是临时的 会被清除 那么我们就要用到竞争来不断的去上传带有恶意代码的session文件 再用bp不停的去包含这个session文件 一旦服务器来不及删除 恶意代码就会被执行 我们就能得到想要的结果
下一步就是构造恶意代码了 再phpinfo里ctrl+g搜索disable_function 发现许多函数都被禁用掉了如system 这样我们就没法探测 仔细一看 发现scandir这个函数没有被禁 可以探测目录和文件 构造php代码
<?php var_dump(scandir("/etc")); ?>

 

再不断地去包含 最后探测到flag文件 再更改php代码为 <?php var_dump(file_get_contents("flag文件")); ?> 来读取flag

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

标签：Web,包含,文件,upload,国赛,session,progress,php
来源： https://www.cnblogs.com/amet/p/14775520.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。