第26讲session及日志文件包含利用52课件.pptxVIP

第26讲session及日志文件包含利用任毅

引言当可以获取session文件路径并且session文件的内容可控的的时候，就可以通过包含session文件进行攻击。当某个PHP文件存在本地包含漏洞，而却无法上传正常文件，这就意味这有包含漏洞却不能拿来利用，这时攻击者就有可能会利用Apache日志文件来入侵。

小测试如何知道session的ID及Session文件存放位置？

学习目标1、能描述Session文件与日志文件包含漏洞原理2、能利用Session文件与日志文件包含漏洞进行渗透测试3、加强Session文件与日志文件包含漏洞渗透防范能力

Session文件包含当可以获取session文件路径并且session文件的内容可控的的时候，就可以通过包含session文件进行攻击。session文件包含的利用条件有两个：Session的存储位置可以获取。Session的内容可控。

Session文件包含一般通过以下两种方式获取session的存储位置：（1）通过phpinfo的信息获取session的存储位置，通过phpinfo的信息获取session.save_path。（2）通过猜测默认的session存储位置进行尝试，通常Linux中的Session的默认存储位置在/var/lib/php/session目录下。

Session文件包含实训1）在客户机上生成session.php文件，包含代码如下（可用文件上传漏洞上传此文件）：?phpsession_start();$session=$_GET[session];$_SESSION[username]=$session;?2）利用文件上传漏洞，将客户机中此文件上传到DVWAWeb服务器的../../hackable/uploads/目录中。3）客户机上启动burpsuite，开启抓包。4）客户机上运行Firefox，在其地址栏中输入下列URL并回车：30/dvwa/hackable/uploads/session.php?session=?php@eval($_REQUEST[cmd]);phpinfo();?

Session文件包含实训5）在burpsuite中查看sessionid，如下所示：即PHPsessionID为：5o3jemo7rgevkt6ed56b5qhpe3。Session的文件名以sess_开头，后跟Sessionid，即Session文件名为sess_5o3jemo7rgevkt6ed56b5qhpe3，根据PHPinfo()该session文件是:D:\phpstudy_pro\Extensions\tmp\tmp\sess_5o3jemo7rgevkt6ed56b5qhpe3

Session文件包含实训转到Web服务器D:\phpstudy_pro\Extensions\tmp\tmp\文件夹，查看session文件sess_5o3jemo7rgevkt6ed56b5qhpe3的内容如下：

Session文件包含实训可见成功写入了一句话木马。再结合DVWA中Low级别下文件包含漏洞，可成功访问该文件，如下所示：

日志文件包含当某个PHP文件存在本地包含漏洞，但是无法上传php文件时，这就意味有漏洞但不能使用自己的PHP文件来利用，这时攻击者就有可能会利用Apache日志文件来入侵。Apache服务器运行后会生成两个日志文件，这两个文件是access.log(访问日志)和error.log(错误日志)，Apache的日志文件记录下我们的操作，并且写到访问日志文件access.log之中。

日志文件包含Phpstudy8.0日志文件位于：D:\phpstudy_pro\Extensions\Apache2.4.39\logs中，如下所示：文件名中的数字表示？

日志文件包含实训根据图中所示，每天生成一个日志文件，文件名中access.log.后面的数字表示时间戳，对于第一个文件名中1656201600时间戳，利用时间戳转换网站，得到如下结果。https://tool.lu/timestamp/表明该日志记录2022年6月26日的访问情况。

日志文件包含实训访问文件包含中的file3.php，查看相应的日志文件，结果如下：

日志文件包含实训说明刚才的访问已经记录到日志文件中，利用文件包含漏洞，尝试在URL中访问此日志文件：30/dvwa/vulnerabilities/fi/?page=../../../../Extensions/Apache2.4.39/logs/access.log.1658707200，结果如下：

日志文件包含实训说明可通过URL访问日志文件，该网站可能存在日志包含漏洞。尝试在UR