HackTricksLFI2RCE via PHP_SESSION_UPLOAD_PROGRESS
Reading time: 3 minutes
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Informações Básicas
Se você encontrou uma Local File Inclusion mesmo que você não tenha uma sessão e session.auto_start esteja Desligado. Se session.upload_progress.enabled estiver Ligado e você fornecer o PHP_SESSION_UPLOAD_PROGRESS nos dados multipart POST, o PHP habilitará a sessão para você.
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah' -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange
In the last example the session will contain the string blahblahblah
Note que com PHP_SESSION_UPLOAD_PROGRESS você pode controlar dados dentro da sessão, então se você incluir seu arquivo de sessão, pode incluir uma parte que você controla (um php shellcode, por exemplo).
note
Embora a maioria dos tutoriais na Internet recomende que você defina session.upload_progress.cleanup como Off para fins de depuração. O padrão session.upload_progress.cleanup no PHP ainda é On. Isso significa que seu progresso de upload na sessão será limpo o mais rápido possível. Portanto, isso será uma Race Condition.
O CTF
No CTF original onde essa técnica é comentada, não era suficiente explorar a Race Condition, mas o conteúdo carregado também precisava começar com a string @<?php.
Devido à configuração padrão de session.upload_progress.prefix, nosso arquivo de SESSION começará com um prefixo irritante upload_progress_ Como: upload_progress_controlledcontentbyattacker
O truque para remover o prefixo inicial foi base64codificar a carga útil 3 vezes e depois decodificá-la através de filtros convert.base64-decode, isso porque quando decodificando base64, o PHP removerá os caracteres estranhos, então após 3 vezes apenas a carga útil enviada pelo atacante permanecerá (e então o atacante pode controlar a parte inicial).
Mais informações na escrita original https://blog.orange.tw/2018/10/ e exploit final https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.py
Outra escrita em https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.