hacktricks/pentesting-web/file-inclusion/via-php_session_upload_progress.md

# LFI2RCE via PHP\_SESSION\_UPLOAD\_PROGRESS

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

### Informações Básicas

Se você encontrou uma **Inclusão de Arquivo Local** mesmo se você **não tiver uma sessão** e `session.auto_start` estiver `Off`. Se **`session.upload_progress.enabled`** estiver **`On`** e você fornecer o **`PHP_SESSION_UPLOAD_PROGRESS`** nos dados **multipart POST**, o PHP irá **ativar a sessão para você**.
```bash
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah
```
Observe que com **`PHP_SESSION_UPLOAD_PROGRESS`** você pode **controlar dados dentro da sessão**, então se você incluir seu arquivo de sessão, pode incluir uma parte que você controla (um shellcode php, por exemplo).

{% hint style="info" %}
Embora a maioria dos tutoriais na Internet recomende que você defina `session.upload_progress.cleanup` como `Off` para fins de depuração, a configuração padrão de `session.upload_progress.cleanup` no PHP ainda é `On`. Isso significa que seu progresso de upload na sessão será limpo o mais rápido possível. Então, isso será uma **Condição de Corrida**.
{% endhint %}

### O CTF

No [**CTF original**](https://blog.orange.tw/2018/10/) onde essa técnica é comentada, não foi suficiente explorar a Condição de Corrida, mas o conteúdo carregado também precisava começar com a string `@<?php`.

Devido à configuração padrão de `session.upload_progress.prefix`, nosso **arquivo de SESSÃO começará com um prefixo irritante** `upload_progress_` como: `upload_progress_controlledcontentbyattacker`

O truque para **remover o prefixo inicial** foi **codificar em base64 o payload 3 vezes** e depois decodificá-lo via filtros `convert.base64-decode`, isso porque quando **decodificamos em base64, o PHP remove os caracteres estranhos**, então após 3 vezes, **apenas** o **payload** **enviado** pelo atacante **permanecerá** (e então o atacante pode controlar a parte inicial).

Mais informações no writeup original [https://blog.orange.tw/2018/10/](https://blog.orange.tw/2018/10/) e no exploit final [https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py](https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py)\
Outro writeup em [https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/](https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).

</details>
GitBook: [#3679] No subject 2022-12-14 00:23:57 +00:00			`# LFI2RCE via PHP\_SESSION\_UPLOAD\_PROGRESS`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e para o [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### Informações Básicas`
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Se você encontrou uma Inclusão de Arquivo Local mesmo se você não tiver uma sessão e `session.auto_start` estiver `Off`. Se `session.upload_progress.enabled` estiver `On` e você fornecer o `PHP_SESSION_UPLOAD_PROGRESS` nos dados multipart POST, o PHP irá ativar a sessão para você.
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00			```bash
			`$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'`
			`$ ls -a /var/lib/php/sessions/`
			`. ..`
			`$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'`
			`$ ls -a /var/lib/php/sessions/`
			`. ..`
			`$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah' -F 'file=@/etc/passwd'`
			`$ ls -a /var/lib/php/sessions/`
			`. .. sess_iamorange`

			`In the last example the session will contain the string blahblahblah`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Observe que com `PHP_SESSION_UPLOAD_PROGRESS` você pode controlar dados dentro da sessão, então se você incluir seu arquivo de sessão, pode incluir uma parte que você controla (um shellcode php, por exemplo).
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
			`{% hint style="info" %}`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Embora a maioria dos tutoriais na Internet recomende que você defina `session.upload_progress.cleanup` como `Off` para fins de depuração, a configuração padrão de `session.upload_progress.cleanup` no PHP ainda é `On`. Isso significa que seu progresso de upload na sessão será limpo o mais rápido possível. Então, isso será uma Condição de Corrida.
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00			`{% endhint %}`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### O CTF`
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			No [CTF original](https://blog.orange.tw/2018/10/) onde essa técnica é comentada, não foi suficiente explorar a Condição de Corrida, mas o conteúdo carregado também precisava começar com a string `@<?php`.
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Devido à configuração padrão de `session.upload_progress.prefix`, nosso arquivo de SESSÃO começará com um prefixo irritante `upload_progress_` como: `upload_progress_controlledcontentbyattacker`
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			O truque para remover o prefixo inicial foi codificar em base64 o payload 3 vezes e depois decodificá-lo via filtros `convert.base64-decode`, isso porque quando decodificamos em base64, o PHP remove os caracteres estranhos, então após 3 vezes, apenas o payload enviado pelo atacante permanecerá (e então o atacante pode controlar a parte inicial).
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Mais informações no writeup original [https://blog.orange.tw/2018/10/](https://blog.orange.tw/2018/10/) e no exploit final [https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py](https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py)\`
			`Outro writeup em [https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/](https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`