<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.
Wenn `==` in PHP verwendet wird, gibt es unerwartete Fälle, in denen der Vergleich nicht wie erwartet funktioniert. Dies liegt daran, dass "==" nur Werte vergleicht, die in denselben Typ umgewandelt wurden. Wenn Sie auch vergleichen möchten, dass der Typ der verglichenen Daten gleich ist, müssen Sie `===` verwenden.
*`"string" == 0 -> True` Ein String, der nicht mit einer Zahl beginnt, ist gleich einer Zahl
*`"0xAAAA" == "43690" -> True` Strings, die aus Zahlen im Dezimal- oder Hexadezimalformat bestehen, können mit anderen Zahlen/Strings verglichen werden, wobei das Ergebnis True ist, wenn die Zahlen gleich waren (Zahlen in einem String werden als Zahlen interpretiert)
*`"0e3264578" == 0 --> True` Ein String, der mit "0e" beginnt und von beliebigem Text gefolgt wird, ist gleich 0
*`"0X3264578" == 0X --> True` Ein String, der mit "0" beginnt und von einem beliebigen Buchstaben gefolgt wird (X kann ein beliebiger Buchstabe sein) und von beliebigem Text gefolgt wird, ist gleich 0
*`"0e12334" == "0" --> True` Dies ist sehr interessant, da Sie in einigen Fällen die Zeichenfolgeneingabe von "0" und einige Inhalte steuern können, die gehasht und mit ihr verglichen werden. Daher könnten Sie, wenn Sie einen Wert bereitstellen können, der einen Hash erstellt, der mit "0e" beginnt und ohne Buchstaben ist, den Vergleich umgehen. Sie können **bereits gehashte Zeichenfolgen** mit diesem Format hier finden: [https://github.com/spaze/hashes](https://github.com/spaze/hashes)
*`"X" == 0 --> True` Jeder Buchstabe in einer Zeichenfolge ist gleich der Zahl 0
Weitere Informationen unter [https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09](https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09)
**Typumwandlung** betrifft auch die Funktion `in_array()` standardmäßig (Sie müssen das dritte Argument auf true setzen, um einen strengen Vergleich durchzuführen):
Wenn diese Funktion für **eine Authentifizierungsprüfung** verwendet wird (zum Beispiel zum Überprüfen des Passworts) und der Benutzer eine Seite des Vergleichs kontrolliert, kann er anstelle eines Strings ein leeres Array als Wert des Passworts senden (`https://example.com/login.php/?username=admin&password[]=`) und diese Prüfung umgehen:
Auch wenn `===`**verwendet wird**, können Fehler auftreten, die den **Vergleich anfällig** für **Typumwandlung** machen. Zum Beispiel, wenn der Vergleich die Daten **in ein anderes Objekttyp umwandelt, bevor er verglichen wird**:
**`preg_match()`** könnte verwendet werden, um **Benutzereingaben zu validieren** (es **überprüft**, ob ein **Wort/Regex** aus einer **Schwarzen Liste** in der **Benutzereingabe vorhanden ist** und wenn nicht, kann der Code mit seiner Ausführung fortsetzen).
Wenn jedoch der Anfang des Regexps begrenzt wird, überprüft `preg_match()`**nur die erste Zeile der Benutzereingabe**, dann wenn es Ihnen irgendwie gelingt, die Eingabe in **mehreren Zeilen zu senden**, könnten Sie diese Überprüfung umgehen. Beispiel:
Um diese Überprüfung zu umgehen, könnten Sie den Wert mit neuen Zeilen urlcodiert (`%0A`) senden oder, wenn Sie JSON-Daten senden können, senden Sie sie in mehreren Zeilen:
(Diese Umgehung wurde anscheinend auf PHP 5.2.5 ausprobiert und ich konnte sie auf PHP 7.3.15 nicht zum Laufen bringen)\
Wenn Sie `preg_match()` einen gültigen sehr **großen Eingabewert** senden können, wird es **nicht in der Lage sein, ihn zu verarbeiten**, und Sie können die Überprüfung **umgehen**. Zum Beispiel, wenn es ein JSON auf die Blacklist setzt, könnten Sie senden:
Kurz gesagt tritt das Problem auf, weil die `preg_*` Funktionen in PHP auf der [PCRE-Bibliothek](http://www.pcre.org/) aufbauen. In PCRE werden bestimmte reguläre Ausdrücke durch eine Vielzahl von rekursiven Aufrufen abgeglichen, die viel Stack-Speicher verbrauchen. Es ist möglich, ein Limit für die Anzahl der erlaubten Rekursionen festzulegen, aber in PHP liegt dieses Limit standardmäßig bei [100.000](http://php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit), was mehr ist als in den Stack passt.
In dem Beitrag wurde auch auf [diesen Stackoverflow-Thread](http://stackoverflow.com/questions/7620910/regexp-in-preg-match-function-returning-browser-error) verwiesen, in dem dieses Problem ausführlicher behandelt wird. Unsere Aufgabe war nun klar:\
**Senden Sie eine Eingabe, die dazu führt, dass der Regex mehr als 100.000 Rekursionen durchführt, einen SIGSEGV verursacht, die `preg_match()` Funktion `false` zurückgibt und die Anwendung denkt, dass unsere Eingabe nicht bösartig ist. Am Ende des Payloads wird dann etwas Überraschendes wie `{system(<verybadcommand>)}` eingefügt, um SSTI --> RCE --> Flag zu erhalten :)**.
Nun, in Regex-Terminologie führen wir tatsächlich keine 100.000 "Rekursionen" durch, sondern zählen stattdessen "Backtracking-Schritte", die laut [PHP-Dokumentation](https://www.php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit) standardmäßig auf 1.000.000 (1M) in der Variable `pcre.backtrack_limit` festgelegt sind.\
Um dies zu erreichen, führt `'X'*500_001` zu 1 Million Backtracking-Schritten (500k vorwärts und 500k rückwärts):
Wenn PHP auf eine andere Seite umleitet, aber keine **`die`** oder **`exit`** Funktion aufgerufen wird, **nachdem der Header `Location` gesetzt wurde**, wird PHP fortgesetzt und fügt die Daten dem Body hinzu:
* **register_globals**: In **PHP < 4.1.1.1** oder bei falscher Konfiguration kann **register_globals** aktiv sein (oder ihr Verhalten wird nachgeahmt). Dies bedeutet, dass in globalen Variablen wie $\_GET, wenn sie einen Wert haben, z.B. $\_GET\["param"]="1234", darauf zugegriffen werden kann über **$param**. Daher können Sie durch Senden von HTTP-Parametern Variablen überschreiben, die im Code verwendet werden.
* Die **PHPSESSION-Cookies der gleichen Domain werden am selben Ort gespeichert**, daher können Sie, wenn innerhalb einer Domain **unterschiedliche Cookies in verschiedenen Pfaden** verwendet werden, einen Pfad so einrichten, dass er auf das Cookie des Pfads zugreift, indem Sie den Wert des Cookies des anderen Pfads setzen. Auf diese Weise können Sie, wenn **beide Pfade auf eine Variable mit dem gleichen Namen zugreifen**, den **Wert dieser Variablen in Pfad1 auf Pfad2 anwenden**. Dann werden die Variablen von Pfad1 als gültig für Pfad2 angesehen (indem Sie dem Cookie den entsprechenden Namen geben, der in Pfad2 entspricht).
* Wenn Sie die **Benutzernamen** der Benutzer der Maschine haben. Überprüfen Sie die Adresse: **/\~\<USERNAME>**, um zu sehen, ob die PHP-Verzeichnisse aktiviert sind.
* [**LFI und RCE mit php-Wrappern**](../../../pentesting-web/file-inclusion/)
Diese Funktionen werden typischerweise in PHP verwendet, um **Hashes aus Passwörtern zu generieren** und zu überprüfen, ob ein Passwort mit einem Hash übereinstimmt.\
Die unterstützten Algorithmen sind: `PASSWORD_DEFAULT` und `PASSWORD_BCRYPT` (beginnt mit `$2y$`). Beachten Sie, dass **PASSWORD\_DEFAULT** häufig dasselbe wie **PASSWORD\_BCRYPT** ist. Und derzeit hat **PASSWORD\_BCRYPT** eine **Größenbeschränkung für die Eingabe von 72 Bytes**. Wenn Sie also versuchen, etwas Größeres als 72 Bytes mit diesem Algorithmus zu hashen, werden nur die ersten 72 Bytes verwendet:
Wenn eine **PHP-Seite Fehler druckt und einige vom Benutzer bereitgestellte Eingaben ausgibt**, kann der Benutzer die PHP-Server dazu bringen, einige **Inhalte lang genug** zurückzugeben, sodass beim Versuch, **die Header** in die Antwort einzufügen, der Server einen Fehler wirft.\
Im folgenden Szenario hat der **Angreifer den Server dazu gebracht, einige große Fehler zu werfen**, und wie Sie auf dem Bildschirm sehen können, als PHP versuchte, **die Header-Informationen zu ändern, konnte es nicht** (beispielsweise wurde der CSP-Header nicht an den Benutzer gesendet):
Diese Funktion in PHP ermöglicht es Ihnen, **Code auszuführen, der in einem String geschrieben ist**, um **true oder false zurückzugeben** (und je nachdem die Ausführung zu ändern). Normalerweise wird die Benutzervariable in der Mitte eines Strings eingefügt. Zum Beispiel:\
Sie müssen den Code **unterbrechen**, die **Syntax****hinzufügen** und dann **wieder reparieren**. Sie können **Logikoperationen** wie "**and**" oder "%26%26" oder "|" verwenden. Beachten Sie, dass "or" oder "||" nicht funktionieren, da bei Erfüllung der ersten Bedingung unser Payload nicht ausgeführt wird. Ebenso funktioniert ";" nicht, da unser Payload nicht ausgeführt wird.
Wenn Sie eine **.htaccess** **hochladen** können, können Sie mehrere Dinge **konfigurieren** und sogar Code ausführen (Konfigurieren von Dateien mit der Erweiterung .htaccess, die **ausgeführt** werden können).
Wenn Sie eine Schwachstelle finden, die es Ihnen ermöglicht, **Umgebungsvariablen in PHP zu ändern** (und eine weitere zum Hochladen von Dateien, obwohl dies möglicherweise mit weiteren Recherchen umgangen werden kann), könnten Sie dieses Verhalten missbrauchen, um **RCE** zu erhalten.
* [**`LD_PRELOAD`**](../../../linux-hardening/privilege-escalation/#ld\_preload-and-ld\_library\_path): Diese Umgebungsvariable ermöglicht das Laden beliebiger Bibliotheken beim Ausführen anderer Binärdateien (obwohl dies in diesem Fall möglicherweise nicht funktioniert).
* **`PHPRC`** : Weist PHP an, **wo seine Konfigurationsdatei** zu finden ist, normalerweise `php.ini` genannt. Wenn Sie Ihre eigene Konfigurationsdatei hochladen können, verwenden Sie `PHPRC`, um PHP darauf zu verweisen. Fügen Sie einen **`auto_prepend_file`** Eintrag hinzu, der eine zweite hochgeladene Datei angibt. Diese zweite Datei enthält normalen **PHP-Code, der dann vom PHP-Laufzeitumgebung vor jedem anderen Code ausgeführt wird**.
1. Laden Sie eine PHP-Datei hoch, die unseren Shellcode enthält
2. Laden Sie eine zweite Datei hoch, die eine **`auto_prepend_file`**-Anweisung enthält, die den PHP-Präprozessor anweist, die Datei auszuführen, die wir im ersten Schritt hochgeladen haben
3. Setzen Sie die Variable `PHPRC` auf die Datei, die wir im zweiten Schritt hochgeladen haben.
* Erhalten Sie weitere Informationen zur Ausführung dieser Kette [**aus dem Originalbericht**](https://labs.watchtowr.com/cve-2023-36844-and-friends-rce-in-juniper-firewalls/).
* Wenn Sie **keine Dateien hochladen können**, könnten Sie in FreeBSD die "Datei" `/dev/fd/0` verwenden, die den **`stdin`** enthält, der den **Body** der Anfrage darstellt, die an den `stdin` gesendet wurde:
Wenn Sie eine PHP-Anwendung debuggen, können Sie das Fehlerdrucken global in `/etc/php5/apache2/php.ini` aktivieren, indem Sie `display_errors = On` hinzufügen und Apache neu starten: `sudo systemctl restart apache2`
PHP-Wrapper und Protokolle könnten es Ihnen ermöglichen, **Schreib- und Leseschutzmechanismen zu umgehen** und das System zu kompromittieren. Für [**weitere Informationen besuchen Sie diese Seite**](../../../pentesting-web/file-inclusion/#lfi-rfi-using-php-wrappers-and-protocols).
Wenn Sie sehen, dass **Xdebug** in einer `phpconfig()`-Ausgabe **aktiviert** ist, sollten Sie versuchen, RCE über [https://github.com/nqxcode/xdebug-exploit](https://github.com/nqxcode/xdebug-exploit) zu erhalten.
Wenn Sie auf einer Seite **ein neues Objekt einer beliebigen Klasse erstellen können**, könnten Sie RCE erhalten. Überprüfen Sie die folgende Seite, um zu erfahren, wie:
XOR (exklusives Oder) ist eine Bitweise Operation, die in der Kryptographie und beim Hacking häufig verwendet wird. Es wird verwendet, um Daten zu verschlüsseln und zu entschlüsseln, indem ein Schlüssel auf die Daten angewendet wird. XOR ist nützlich, da es eine einfache Möglichkeit bietet, Daten zu verschleiern, ohne sie tatsächlich zu verschlüsseln.
So, wenn Sie **beliebiges PHP ohne Zahlen und Buchstaben ausführen können**, können Sie eine Anfrage wie die folgende senden, um diesen Payload zu missbrauchen und beliebiges PHP auszuführen:
lt;>/'^'{{{{'; --> _GET` `${$_}[_](${$_}[__]); --> $_GET[_]($_GET[__])` `So, the function is inside $_GET[_] and the parameter is inside $_GET[__]` http --form POST "http://victim.com/index.php?_=system&__=$CMD" "input=$CODE"
<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github Repositories einreichen.
