LFI2RCE via Eternal waiting

基本情報

デフォルトでは、ファイルがPHPにアップロードされると（期待されていなくても）、**php[a-zA-Z0-9]{6}**のような名前の一時ファイルが/tmpに生成されます。ただし、生成されたファイルに数字が含まれないdockerイメージも見たことがあります。

ローカルファイルインクルージョンでは、アップロードされたファイルをインクルードできれば、RCEを取得できます。

デフォルトでは、PHPは単一のリクエストで20ファイルのアップロードのみを許可します（/etc/php/<version>/apache2/php.iniで設定されています）：

; Maximum number of files that can be uploaded via a single request
max_file_uploads = 20

また、潜在的なファイル名の数は 62*62*62*62*62*62 = 56800235584 です。

その他の技術

その他の技術は、PHPプロトコルを攻撃することに依存しています（パスの最後の部分だけを制御している場合はできません）、ファイルのパスを開示すること、期待されるファイルを悪用すること、またはPHPにセグメンテーションフォルトを引き起こさせてアップロードされた一時ファイルが削除されないようにすることです。 この技術は最後のものと非常に似ていますが、ゼロデイを見つける必要はありません。

永遠の待機技術

この技術では相対パスを制御するだけで済みます。ファイルをアップロードし、LFIが決して終わらないようにすることができれば、アップロードされたファイルをブルートフォースして見つけるための「十分な時間」を得ることができます。

この技術の利点：

• インクルード内の相対パスを制御するだけで済む

• nginxやログファイルへの予期しないレベルのアクセスを必要としない

• セグメンテーションフォルトを引き起こすために0デイを必要としない

• パスの開示を必要としない

この技術の主な問題は：

• 特定のファイルが存在する必要がある（他にもあるかもしれません）

• 膨大な潜在的ファイル名の数：56800235584

• サーバーが数字を使用していない場合、潜在的な総数は：19770609664

• デフォルトでは1回のリクエストで20ファイルのみアップロード可能です。

• 使用されるサーバーの最大並列ワーカー数。

• この制限と前述の制限により、この攻撃が長引く可能性があります

• PHPリクエストのタイムアウト。理想的にはこれは永遠であるべきか、アップロードされた一時ファイルを削除せずにPHPプロセスを終了させるべきです。そうでない場合、これもまた厄介です。

では、どのようにしてPHPインクルードを決して終わらせることができるのでしょうか？ファイル**/sys/kernel/security/apparmor/revision**をインクルードするだけです（残念ながらDockerコンテナでは利用できません...）。

試してみてください：

php -a # open php cli
include("/sys/kernel/security/apparmor/revision");

Apache2

デフォルトでは、Apacheは150の同時接続をサポートしています。 https://ubiq.co/tech-blog/increase-max-connections-apache/に従って、この数を最大8000まで増やすことが可能です。このモジュールでPHPを使用するには、次のリンクを参照してください: https://www.digitalocean.com/community/tutorials/how-to-configure-apache-http-with-mpm-event-and-php-fpm-on-ubuntu-18-04。

デフォルトでは、（私のテストで確認したところ）PHPプロセスは永遠に続くことができます。

少し計算してみましょう：

• 149接続を使用して149 * 20 = 2980の一時ファイルを生成できます。

• 次に、最後の接続を使用してブルートフォースで潜在的なファイルを探します。

• 10リクエスト/秒の速度で、時間は次の通りです：

• 56800235584 / 2980 / 10 / 3600 ~= 530時間（265時間で50%の確率）

• （数字なし）19770609664 / 2980 / 10 / 3600 ~= 185時間（93時間で50%の確率）

Apacheサーバーが改善され、4000接続を悪用できる場合（最大数の半分）、3999*20 = 79980 ファイルを作成でき、時間は約19.7時間または6.9時間（10時間、3.5時間で50%の確率）に短縮されます。

PHP-FMP

通常のphpモジュールを使用してPHPスクリプトを実行する代わりに、ウェブページが PHP-FMPを使用している場合（これによりウェブページの効率が向上するため、一般的に見られます）、技術を改善するために他にできることがあります。

PHP-FMPは、/etc/php/<php-version>/fpm/pool.d/www.confでパラメータ request_terminate_timeoutを設定することを許可します。 このパラメータは、PHPへのリクエストが終了する最大秒数を示します（デフォルトでは無限ですが、パラメータがコメント解除されると30秒）。PHPによってリクエストが処理されている間、指定された秒数が経過すると、終了します。これは、リクエストが一時ファイルをアップロードしている場合、PHP処理が停止したため、そのファイルは削除されないことを意味します。したがって、その時間リクエストを持続させることができれば、削除されない一時ファイルを何千も生成でき、これによりそれらを見つけるプロセスが加速され、すべての接続を消費することによるプラットフォームへのDoSの確率が減少します。

したがって、DoSを回避するために、攻撃者が同時に100接続のみを使用すると仮定し、php-fmpによるPHPの最大処理時間（request_terminate_timeout）が30秒**であるとします。したがって、秒あたり生成できる一時ファイルの数は100*20/30 = 66.67です。

次に、10000ファイルを生成するには、攻撃者は**10000/66.67 = 150秒が必要です（100000ファイルを生成するには、時間は25分**になります）。

その後、攻撃者はこれらの100接続を使用してブルートフォース検索を実行できます。 **** 300 req/sの速度を仮定すると、これを悪用するのに必要な時間は次の通りです：

• 56800235584 / 10000 / 300 / 3600 ~= 5.25時間（2.63時間で50%の確率）

• （100000ファイルの場合）56800235584 / 100000 / 300 / 3600 ~= 0.525時間（0.263時間で50%の確率）

はい、EC2の中サイズインスタンスで100000の一時ファイルを生成することは可能です：

Nginx

デフォルトでは、Nginxは同時に512の並列接続をサポートしているようです（この数は改善可能です）。