LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
compress.zlib://
та PHP_STREAM_PREFER_STDIO
Файл, відкритий за допомогою протоколу compress.zlib://
з прапором PHP_STREAM_PREFER_STDIO
, може продовжувати записувати дані, які надходять до з'єднання пізніше, у той же файл.
Це означає, що виклик, такий як:
Відправить запит на http://attacker.com/file, тоді сервер може відповісти на запит дійсною HTTP-відповіддю, підтримувати з'єднання відкритим і надіслати додаткові дані деякий час потому, які також будуть записані у файл.
Ви можете побачити цю інформацію в цій частині коду php-src у main/streams/cast.c:
Цей CTF був вирішений за допомогою попереднього трюку.
Зловмисник змусить сервер жертви відкрити з'єднання для читання файлу з сервера зловмисника за допомогою compress.zlib
протоколу.
Поки це з'єднання існує, зловмисник експортує шлях до тимчасового файлу, що був створений (він витікає з сервера).
Поки з'єднання все ще відкрите, зловмисник використає LFI для завантаження тимчасового файлу, яким він керує.
Однак, на веб-сервері є перевірка, яка запобігає завантаженню файлів, що містять <?
. Тому зловмисник зловживає умовою гонки. У з'єднанні, яке все ще відкрите, зловмисник надішле PHP корисне навантаження ПІСЛЯ того, як веб-сервер перевірив, чи містить файл заборонені символи, але ДО того, як він завантажить його вміст.
Для отримання додаткової інформації перегляньте опис Умови гонки та CTF на https://balsn.tw/ctf_writeup/20191228-hxp36c3ctf/#includer
Вчіться та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)