文件包含之session.upload_progress的使用

目录

原理

环境搭建

渗透

结果


一次项目经历复现

原理

session.auto_start顾名思义,如果开启这个选项,则PHP在接收请求的时候会自动初始化Session,不再需要执行session_start()。但默认情况下,也是通常情况下,这个选项都是关闭的。

session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化Session,PHP也会自动初始化Session。

默认情况session.upload_progress.enabled是开启的

然后我们上传在这个字段PHP_SESSION_UPLOAD_PRORESS下面,然后一旦有这个字段php会认为你是要做一个 进度条的上传这样就会自动生成一个session文件,session文件的内容是你的上传内容和PHP_SESSION_UPLOAD_PRORESS字段对应的值,然后我们就可以包含了。然后由于session.upload_progress.cleanup是1默认开启的,你上传完成以后文件会马上删掉。

环境搭建

文件上传

html 复制代码
<html>
<body>

<form action="2024_8_28_1.php" method="post"
      enctype="multipart/form-data">
    <label for="file">Filename:</label>
    <input type="file" name="file" id="file" />
    <br />
    <input type="submit" name="upload" value="upload" />
</form>

</body>
</html>

文件包含

php 复制代码
<?php
include $_REQUEST['file'];

渗透

如下抓包,添加字段cookie,然后在上传文件的时候整一个PHP_SESSION_UPLOAD_PRORESS字段,这样在session文件中就会你刚刚设置的cookie的session名字的session文件

session文件,这个文件是空的原因就是session.upload_progress.cleanup是开启的,所以上传以后里面的内容被删除掉了

如何继续包含,我们在没有删除的时候进行竞争,可以使用bp爆破抓包,两个线程一起竞争,一边上传session,一边包含

结果

包含成功

相关推荐
IpdataCloud2 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
xian_wwq2 小时前
【学习笔记】模型权重管理:Safetensors与私有化Hub(23/35)
笔记·学习
其实防守也摸鱼2 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
ctrl_v助手2 小时前
Halcon学习笔记2
人工智能·笔记·学习
YUS云生3 小时前
Python学习笔记·第31天:FastAPI入门——路由、路径参数、查询参数与请求体
笔记·python·学习
铅笔侠_小龙虾4 小时前
Rust 学习目录
开发语言·学习·rust
JerrySir5 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
渣渣灰飞5 小时前
MySQL 系统学习 第五阶段:企业级 MySQL 实战开发 第二章:RBAC 权限系统设计
android·学习·mysql
白帽小阳5 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
六bring个六5 小时前
open Harmony中分布式软总线的学习任务清单
分布式·学习·c/c++·open harmony