LFI2RCE Via temp file uploads
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)
この技術の詳細はhttps://gynvael.coldwind.pl/download.php?f=PHP_LFI_rfc1867_temporary_files.pdfで確認してください。
PHPエンジンがRFC 1867に従ってフォーマットされたファイルを含むPOSTリクエストを受け取ると、アップロードされたデータを保存するための一時ファイルが生成されます。これらのファイルは、PHPスクリプトにおけるファイルアップロード処理にとって重要です。永続的なストレージがスクリプトの実行を超えて必要な場合は、move_uploaded_file
関数を使用してこれらの一時ファイルを所定の場所に移動する必要があります。実行後、PHPは残りの一時ファイルを自動的に削除します。
セキュリティ警告: 攻撃者は一時ファイルの場所を知っているため、アップロード中にファイルにアクセスしてコードを実行するためにローカルファイルインクルージョンの脆弱性を悪用する可能性があります。
不正アクセスの課題は、一時ファイルの名前を予測することにありますが、これは意図的にランダム化されています。
Windowsシステムでの悪用
Windowsでは、PHPはGetTempFileName
関数を使用して一時ファイル名を生成し、<path>\<pre><uuuu>.TMP
のようなパターンになります。特に:
デフォルトのパスは通常C:\Windows\Temp
です。
プレフィックスは通常「php」です。
<uuuu>
は一意の16進数値を表します。重要なことに、この関数の制限により、下位16ビットのみが使用され、定数のパスとプレフィックスで最大65,535の一意の名前が可能になり、ブルートフォースが実行可能です。
さらに、Windowsシステムでの悪用プロセスは簡素化されています。FindFirstFile
関数の特異性により、ローカルファイルインクルージョン(LFI)パスでワイルドカードを使用することが許可されています。これにより、一時ファイルを見つけるために次のようなインクルードパスを作成できます:
特定の状況では、より具体的なマスク(例えば php1<<
や phpA<<
)が必要になる場合があります。これらのマスクを体系的に試すことで、アップロードされた一時ファイルを発見することができます。
GNU/Linuxシステムでの悪用
GNU/Linuxシステムでは、一時ファイル名のランダム性が強固であり、名前は予測不可能であり、ブルートフォース攻撃に対しても脆弱ではありません。詳細は参照された文書に記載されています。