LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure
compress.zlib://
та PHP_STREAM_PREFER_STDIO
compress.zlib://
та PHP_STREAM_PREFER_STDIO
Файл, відкритий за допомогою протоколу compress.zlib://
з прапорцем PHP_STREAM_PREFER_STDIO
, може продовжувати записувати дані, які надходять до з'єднання, пізніше у той самий файл.
Це означає, що виклик, подібний до:
Буде відправлено запит на http://attacker.com/file, після чого сервер може відповісти на запит дійсною HTTP-відповіддю, утримувати відкрите з'єднання та відправляти додаткові дані через певний час, які також будуть записані у файл.
Ви можете побачити цю інформацію у цій частині коду php-src у main/streams/cast.c:
Гонка умов до RCE
Цей CTF був вирішений за допомогою попереднього трюку.
Атакуючий змусить сервер жертви відкрити з'єднання для читання файлу з сервера атакуючого за допомогою протоколу compress.zlib
.
Поки це з'єднання існує, атакуючий ексфільтрує шлях до створеного тимчасового файлу (він витікає з сервера).
Поки з'єднання є відкритим, атакуючий експлуатує LFI, завантажуючи тимчасовий файл, яким він керує.
Однак у веб-сервері є перевірка, яка запобігає завантаженню файлів, що містять <?
. Тому атакуючий використовуватиме Гонку умов. У з'єднанні, яке ще відкрите, атакуючий відправить PHP навантаження ПІСЛЯ того, як веб-сервер перевірив, чи файл містить заборонені символи, але ДО того, як завантажить його вміст.
Для отримання додаткової інформації перегляньте опис Гонки умов та CTF за посиланням https://balsn.tw/ctf_writeup/20191228-hxp36c3ctf/#includer
Last updated