hacktricks/pentesting-web/file-inclusion/via-php_session_upload_progress.md

# LFI2RCE via PHP\_SESSION\_UPLOAD\_PROGRESS

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}

## Informações Básicas

Se você encontrou uma **Inclusão de Arquivo Local** mesmo que você **não tenha uma sessão** e `session.auto_start` esteja `Desligado`. Se **`session.upload_progress.enabled`** estiver **`Ligado`** e você fornecer o **`PHP_SESSION_UPLOAD_PROGRESS`** nos dados **multipart POST**, o PHP **habilitará a sessão para você**.
```bash
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah
```
Note que com **`PHP_SESSION_UPLOAD_PROGRESS`** você pode **controlar dados dentro da sessão**, então se você incluir seu arquivo de sessão, pode incluir uma parte que você controla (um shellcode php, por exemplo).

{% hint style="info" %}
Embora a maioria dos tutoriais na Internet recomende que você defina `session.upload_progress.cleanup` como `Off` para fins de depuração. O padrão `session.upload_progress.cleanup` no PHP ainda é `On`. Isso significa que seu progresso de upload na sessão será limpo o mais rápido possível. Portanto, isso será uma **Race Condition**.
{% endhint %}

### O CTF

No [**CTF original**](https://blog.orange.tw/2018/10/) onde essa técnica é comentada, não era suficiente explorar a Race Condition, mas o conteúdo carregado também precisava começar com a string `@<?php`.

Devido à configuração padrão de `session.upload_progress.prefix`, nosso **arquivo de SESSION começará com um prefixo irritante** `upload_progress_` Como: `upload_progress_controlledcontentbyattacker`

O truque para **remover o prefixo inicial** foi **base64codificar a carga útil 3 vezes** e depois decodificá-la via filtros `convert.base64-decode`, isso porque ao **decodificar base64, o PHP removerá os caracteres estranhos**, então após 3 vezes **apenas** a **carga útil** **enviada** pelo atacante **permanecerá** (e então o atacante pode controlar a parte inicial).

Mais informações na escrita original [https://blog.orange.tw/2018/10/](https://blog.orange.tw/2018/10/) e exploit final [https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py](https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp\_for\_php.py)\
Outra escrita em [https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/](https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/)

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
{% endhint %}