Condiciones de Uso
1. Se puede obtener la ubicación de almacenamiento de la sesión.
2. El contenido de la sesión es controlable.
Proceso de recurrencia
1. Configure dos sitios web, uno para la inclusión de archivos y otro para controlar el contenido del archivo de sesión.
<VirtualHost 192.168.239.134>
DocumentRoot "/www/session"
<Directory "/www/session">
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
listen 8000
<VirtualHost 192.168.239.134:8000>
DocumentRoot "/www/include"
<Directory "/www/include">
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
El archivo contiene el contenido del archivo en el directorio raíz. Debido a la simple reproducción, include.php no tiene restricciones ni filtros.
Contenido del archivo en el directorio raíz de la sesión.
2. Utilice el sitio web de la sesión para controlar el contenido del archivo de la sesión y cargue una frase del caballo de Troya directamente aquí.
Puede ver que el caballo de Troya que escribimos se pasa al archivo de sesión mediante el paso del parámetro ctfsGET.
gato sobre el archivo de sesión
3. Utilice el archivo para incluir el caballo de Troya en el archivo de sesión.
Aquí necesitamos saber la ubicación donde está almacenado el archivo de sesión. Podemos obtener la información de phpinfo o adivinar la ubicación de almacenamiento de sesión predeterminada para intentarlo. Utilizo el valor predeterminado /var/lib/php/session aquí
Luego, también necesitamos saber el nombre del archivo de sesión. El nombre del archivo de sesión generalmente lleva el nombre de sess_session id y la identificación de sesión se puede obtener a través del modo desarrollador.
Copie al parámetro de nombre de archivo en la inclusión del archivo, envíe
Se incluyó con éxito el caballo de Troya, usando Ant Sword getshell
Resumir
Primero cargue el troyano en el archivo de sesión mediante la controlabilidad del contenido de la sesión, luego obtenga la ruta del archivo de sesión y finalmente use el archivo para incluir el troyano.