文件包含之session.upload_progress的使用

目录

原理

环境搭建

渗透

结果

一次项目经历复现

原理

session.auto_start顾名思义，如果开启这个选项，则PHP在接收请求的时候会自动初始化Session，不再需要执行session_start()。但默认情况下，也是通常情况下，这个选项都是关闭的。

session.upload_progress最初是PHP为上传进度条设计的一个功能，在上传文件较大的情况下，PHP将进行流式上传，并将进度信息放在Session中（包含用户可控的值），即使此时用户没有初始化Session，PHP也会自动初始化Session。

默认情况session.upload_progress.enabled是开启的

然后我们上传在这个字段PHP_SESSION_UPLOAD_PRORESS下面，然后一旦有这个字段php会认为你是要做一个 进度条的上传这样就会自动生成一个session文件，session文件的内容是你的上传内容和PHP_SESSION_UPLOAD_PRORESS字段对应的值，然后我们就可以包含了。然后由于session.upload_progress.cleanup是1默认开启的，你上传完成以后文件会马上删掉。

环境搭建

文件上传

<html>
<body>

<form action="2024_8_28_1.php" method="post"
      enctype="multipart/form-data">
    <label for="file">Filename:</label>
    <input type="file" name="file" id="file" />
    <br />
    <input type="submit" name="upload" value="upload" />
</form>

</body>
</html>

文件包含

<?php
include $_REQUEST['file'];

渗透

如下抓包，添加字段cookie，然后在上传文件的时候整一个PHP_SESSION_UPLOAD_PRORESS字段，这样在session文件中就会你刚刚设置的cookie的session名字的session文件

session文件，这个文件是空的原因就是session.upload_progress.cleanup是开启的，所以上传以后里面的内容被删除掉了

如何继续包含，我们在没有删除的时候进行竞争，可以使用bp爆破抓包，两个线程一起竞争，一边上传session，一边包含

结果

包含成功