<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

知识点:

  • 利用session.upload_progress进行文件包含
  • 条件竞争

思路就是通过上传PHP_SESSION_UPLOAD_PROGRESS来访问/tmp/sess_xxx,从而进行文件包含
原理可以看这篇文章利用session.upload_progress进行文件包含和反序列化渗透
其中主要的几点

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

首先上传PHP_SESSION_UPLOAD_PROGRESS,代码如下

<!DOCTYPE html>
<html>
<body>
<form action="http://ed5a888e-8a6b-4e9f-9f47-0d3922ca327d.chall.ctf.show/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="2333" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
<?php
session_start();
?>

随便传一个文件然后抓包

在这里插入图片描述

因为session.use_strict_mode默认值为off,所以这时我们可以自定义session id,比如在Cookie里设置PHPSESSID=flag,php就会在服务器上创建一个文件:/tmp/sess_flag,即使此时用户没有初始化session,php也会自动初始化session,并产生一个键值。
(在Linux系统中,session文件一般的默认存储位置为 /tmp /var/lib/php/session)
所以添加以下内容,待会爆破

在这里插入图片描述

接着去题目页面,传参?file=/tmp/sess_flag后抓包
(随便加一个参数来方便爆破,不加也行)

在这里插入图片描述

因为session.upload_progress.cleanup默认是开启的,一旦读取了所有POST数据,它就会清除进度信息,因此我们要用条件竞争来访问
所以接下来要将这两个包同时爆破
其实就是一个不停的发送,一个不停的访问,总会有几个在删除之前访问到的,这就是条件竞争

在这里插入图片描述

然后改一改

在这里插入图片描述

再爆破一次,成功拿到flag

在这里插入图片描述

这几题是差不多的,都能用这个方法做

参考
利用session.upload_progress进行文件包含和反序列化渗透
利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含

最后修改:2023 年 12 月 15 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏