Chinese - Ht
HackTricks Training Twitter Linkedin Sponsor

LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS

学习并练习 AWS 黑客技能:HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技能:HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

基本信息

如果你发现了一个本地文件包含漏洞,即使你没有会话session.auto_startOff。如果 session.upload_progress.enabledOn,并且你在多部分 POST 数据中提供了 PHP_SESSION_UPLOAD_PROGRESS,PHP 将会为你启用会话

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

请注意,通过 PHP_SESSION_UPLOAD_PROGRESS 您可以控制会话内的数据,因此,如果您包含您的会话文件,您可以包含您控制的部分(例如一个 PHP shellcode)。

尽管互联网上的大多数教程建议您将 session.upload_progress.cleanup 设置为 Off 以进行调试。但 PHP 中默认的 session.upload_progress.cleanup 仍然是 On。这意味着您的会话中的上传进度将尽快被清除。因此,这将是竞争条件

夺旗赛

原始夺旗赛中,评论了这种技术,利用竞争条件是不够的,加载的内容还需要以字符串 @<?php 开头。

由于 session.upload_progress.prefix 的默认设置,我们的会话文件将以烦人的前缀 upload_progress_ 开头,例如:upload_progress_controlledcontentbyattacker

去除初始前缀的技巧是将有效载荷进行三次 base64 编码,然后通过 convert.base64-decode 过滤器解码,这是因为当base64 解码 PHP 会移除奇怪的字符,所以经过 3 次后,只有攻击者发送的有效载荷保留(然后攻击者可以控制初始部分)。

更多信息请查看原始写作https://blog.orange.tw/2018/10/ 和最终利用https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.py 另一篇写作在https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/

学习并练习 AWS 黑客技能:HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技能:HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks
PreviousLFI2RCE via Nginx temp filesNextLFI2RCE via Segmentation Fault

Last updated