LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS

Naučite i vežbajte hakovanje AWS:HackTricks Obuka AWS Crveni Tim Stručnjak (ARTE) Naučite i vežbajte hakovanje GCP: HackTricks Obuka GCP Crveni Tim Stručnjak (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Ako pronađete Uključenje Lokalne Datoteke čak i ako nemate sesiju i session.auto_start je Isključen. Ako je session.upload_progress.enabled Uključen i pružite PHP_SESSION_UPLOAD_PROGRESS u multipart POST podacima, PHP će omogućiti sesiju za vas.

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

Imajte na umu da sa PHP_SESSION_UPLOAD_PROGRESS možete kontrolisati podatke unutar sesije, pa ako uključite svoju sesijsku datoteku možete uključiti deo koji kontrolišete (na primer, php shellcode).

Iako većina tutorijala na internetu preporučuje da postavite session.upload_progress.cleanup na Off iz razloga debagovanja, podrazumevana vrednost session.upload_progress.cleanup u PHP-u je i dalje On. To znači da će vaš napredak u otpremanju u sesiji biti očišćen što je pre moguće. Dakle, ovo će biti Trkački uslov.

CTF

U originalnom CTF-u gde je komentarisana ova tehnika, nije bilo dovoljno iskoristiti Trkački uslov već je učitani sadržaj trebalo da počne i sa stringom @<?php.

Zbog podrazumevanog podešavanja session.upload_progress.prefix, naša SESIJSKA datoteka će početi sa dosadnim prefiksom upload_progress_ Na primer: upload_progress_controlledcontentbyattacker

Triks za uklanjanje početnog prefiksa bio je base64enkodirati payload 3 puta a zatim ga dekodirati putem filtera convert.base64-decode, to je zato što kada se base64 dekodira PHP će ukloniti čudne karaktere, tako da posle 3 puta samo payload poslat od strane napadača će ostati (i tada napadač može kontrolisati početni deo).

Više informacija u originalnom writeup-u https://blog.orange.tw/2018/10/ i finalni exploit https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.py Još jedan writeup na https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousLFI2RCE via Nginx temp files NextLFI2RCE via Segmentation Fault

Last updated 4 months ago

Osnovne informacije

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

CTF

U originalnom CTF-u gde je komentarisana ova tehnika, nije bilo dovoljno iskoristiti Trkački uslov već je učitani sadržaj trebalo da počne i sa stringom @<?php.