LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS
Last updated
Last updated
Aprenda e pratique Hacking AWS: Treinamento HackTricks AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: Treinamento HackTricks GCP Red Team Expert (GRTE)
Se você encontrou uma Inclusão de Arquivo Local mesmo se você não tiver uma sessão e session.auto_start
estiver Off
. Se session.upload_progress.enabled
estiver On
e você fornecer o PHP_SESSION_UPLOAD_PROGRESS
nos dados multipart POST, o PHP irá ativar a sessão para você.
Note que com PHP_SESSION_UPLOAD_PROGRESS
você pode controlar dados dentro da sessão, então se você incluir seu arquivo de sessão, você pode incluir uma parte que você controla (um shellcode php, por exemplo).
Embora a maioria dos tutoriais na Internet recomende que você defina session.upload_progress.cleanup
como Off
para fins de depuração. O padrão session.upload_progress.cleanup
no PHP ainda é On
. Isso significa que seu progresso de upload na sessão será limpo o mais rápido possível. Portanto, isso será uma Condição de Corrida.
No CTF original onde essa técnica é comentada, não foi suficiente explorar a Condição de Corrida, mas o conteúdo carregado precisava começar também com a string @<?php
.
Devido à configuração padrão de session.upload_progress.prefix
, nosso arquivo de SESSÃO começará com um prefixo irritante upload_progress_
Como por exemplo: upload_progress_controlledcontentbyattacker
O truque para remover o prefixo inicial foi codificar o payload em base64 3 vezes e então decodificá-lo via filtros convert.base64-decode
, isso porque ao decodificar em base64 o PHP removerá os caracteres estranhos, então após 3 vezes apenas o payload enviado pelo atacante permanecerá (e então o atacante pode controlar a parte inicial).
Mais informações no writeup original https://blog.orange.tw/2018/10/ e exploit final https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.py Outro writeup em https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/
Aprenda e pratique Hacking em AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking em GCP: HackTricks Training GCP Red Team Expert (GRTE)