session文件包含漏洞

0x01漏洞利用条件

可以获取session的存储位置：

通过phpinfo()获取session的存储位置 || 盲猜（如Linux默认在/var/lib/php/session）

 

 

 

0x02漏洞分析

session中的内容如果为用户可控，则可能传入恶意代码，造成session文件包含，如下代码

<?php
   session_start();
   $se = $_GET['se'];
   $_SESSION["username"] = $se;          
?>

访问这个文件并且传入参数，这时se的内容会被存储在前面获取的session的存储目录下的一个文件里，文件名为sess_XXX（XXX可以F12在Cookie里得到）

 

 这样会在session存储目录下的sess_77p1hs1lo884fdok80fifs7fm5文件里插入我们刚刚传入的内容

 

 

0x03漏洞利用

session文件包含是在可以文件包含的条件下的漏洞利用，如果可以配合文件上传的话就是最为方便的了，直接把上面的代码传上去访问。

这个传入的参数可以成为恶意代码的插入点，比如直接传入一段代码，然后配合文件包含访问session存储目录下的文件

<?php
    phpinfo();
?>