hacktricks/pentesting-web/file-inclusion/via-php_session_upload_progress.md

# LFI2RCE via PHP\_SESSION\_UPLOAD\_PROGRESS

<details>

<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
### Informações Básicas

Se você encontrou uma **Inclusão Local de Arquivo** mesmo que você **não tenha uma sessão** e `session.auto_start` esteja `Off`. Se **`session.upload_progress.enabled`** estiver **`On`** e você fornecer o **`PHP_SESSION_UPLOAD_PROGRESS`** em dados **multipart POST**, o PHP **ativará a sessão para você**.
```bash
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah
```
Note que com **`PHP_SESSION_UPLOAD_PROGRESS`** você pode **controlar dados dentro da sessão**, então se você incluir o arquivo da sua sessão, você pode incluir uma parte que você controla (um shellcode PHP, por exemplo).

{% hint style="info" %}
Embora a maioria dos tutoriais na Internet recomende que você defina `session.upload_progress.cleanup` como `Off` para fins de depuração, o padrão `session.upload_progress.cleanup` no PHP ainda é `On`. Isso significa que o progresso do upload na sessão será limpo o mais rápido possível. Então, isso será uma **Condição de Corrida**.
{% endhint %}

### O CTF

No [**CTF original**](https://blog.orange.tw/2018/10/) onde essa técnica é comentada, não era suficiente explorar a Condição de Corrida, mas o conteúdo carregado também precisava começar com a string `@<?php`.

Devido à configuração padrão de `session.upload_progress.prefix`, nosso **arquivo SESSION começará com um prefixo irritante** `upload_progress_` Como: `upload_progress_conteudocontroladopeloatacante`

O truque para **remover o prefixo inicial** foi **codificar em base64 o payload 3 vezes** e depois decodificá-lo através dos filtros `convert.base64-decode`, isso porque ao **decodificar base64 o PHP removerá os caracteres estranhos**, então após 3 vezes **apenas** o **payload** **enviado** pelo atacante **permanecerá** (e então o atacante pode controlar a parte inicial).

Mais informações no writeup original [https://blog.orange.tw/2018/10/](https://blog.orange.tw/2018/10/) e exploit final [https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py](https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py)\
Outro writeup em [https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/](https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/)

<details>

<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
GitBook: [#3679] No subject 2022-12-14 00:23:57 +00:00			`# LFI2RCE via PHP\_SESSION\_UPLOAD\_PROGRESS`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`Outras formas de apoiar o HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`* Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [material oficial PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção de [NFTs](https://opensea.io/collection/the-peass-family) exclusivos`
			`* Junte-se ao grupo 💬 [Discord](https://discord.gg/hRep4RUj7f) ou ao grupo [telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks_live](https://twitter.com/hacktricks_live).`
			`* Compartilhe suas técnicas de hacking enviando PRs para os repositórios github [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`</details>`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### Informações Básicas`
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			Se você encontrou uma Inclusão Local de Arquivo mesmo que você não tenha uma sessão e `session.auto_start` esteja `Off`. Se `session.upload_progress.enabled` estiver `On` e você fornecer o `PHP_SESSION_UPLOAD_PROGRESS` em dados multipart POST, o PHP ativará a sessão para você.
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00			```bash
			`$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'`
			`$ ls -a /var/lib/php/sessions/`
			`. ..`
			`$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'`
			`$ ls -a /var/lib/php/sessions/`
			`. ..`
			`$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah' -F 'file=@/etc/passwd'`
			`$ ls -a /var/lib/php/sessions/`
			`. .. sess_iamorange`

			`In the last example the session will contain the string blahblahblah`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			Note que com `PHP_SESSION_UPLOAD_PROGRESS` você pode controlar dados dentro da sessão, então se você incluir o arquivo da sua sessão, você pode incluir uma parte que você controla (um shellcode PHP, por exemplo).
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
			`{% hint style="info" %}`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			Embora a maioria dos tutoriais na Internet recomende que você defina `session.upload_progress.cleanup` como `Off` para fins de depuração, o padrão `session.upload_progress.cleanup` no PHP ainda é `On`. Isso significa que o progresso do upload na sessão será limpo o mais rápido possível. Então, isso será uma Condição de Corrida.
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00			`{% endhint %}`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### O CTF`
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			No [CTF original](https://blog.orange.tw/2018/10/) onde essa técnica é comentada, não era suficiente explorar a Condição de Corrida, mas o conteúdo carregado também precisava começar com a string `@<?php`.
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			Devido à configuração padrão de `session.upload_progress.prefix`, nosso arquivo SESSION começará com um prefixo irritante `upload_progress_` Como: `upload_progress_conteudocontroladopeloatacante`
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			O truque para remover o prefixo inicial foi codificar em base64 o payload 3 vezes e depois decodificá-lo através dos filtros `convert.base64-decode`, isso porque ao decodificar base64 o PHP removerá os caracteres estranhos, então após 3 vezes apenas o payload enviado pelo atacante permanecerá (e então o atacante pode controlar a parte inicial).
GitBook: [#3115] No subject 2022-04-21 00:07:27 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`Mais informações no writeup original [https://blog.orange.tw/2018/10/](https://blog.orange.tw/2018/10/) e exploit final [https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py](https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py)\`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Outro writeup em [https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/](https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Outras maneiras de apoiar o HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:56:46 +00:00			`* Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [merchandising oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção de [NFTs](https://opensea.io/collection/the-peass-family) exclusivos`
			`* Junte-se ao grupo 💬 [Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks_live](https://twitter.com/hacktricks_live).`
			`* Compartilhe suas dicas de hacking enviando PRs para os repositórios do GitHub [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`