hacktricks/pentesting-web/file-inclusion/via-php_session_upload_progress.md

LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Adquira o swag oficial do PEASS & HackTricks
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.

Informações Básicas

Se você encontrou uma Inclusão de Arquivo Local mesmo se você não tiver uma sessão e session.auto_start estiver Off. Se session.upload_progress.enabled estiver On e você fornecer o PHP_SESSION_UPLOAD_PROGRESS nos dados multipart POST, o PHP irá ativar a sessão para você.

$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -d 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'
$ ls -a /var/lib/php/sessions/
. ..
$ curl http://127.0.0.1/ -H 'Cookie: PHPSESSID=iamorange' -F 'PHP_SESSION_UPLOAD_PROGRESS=blahblahblah'  -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions/
. .. sess_iamorange

In the last example the session will contain the string blahblahblah

Observe que com PHP_SESSION_UPLOAD_PROGRESS você pode controlar dados dentro da sessão, então se você incluir seu arquivo de sessão, pode incluir uma parte que você controla (um shellcode php, por exemplo).

{% hint style="info" %} Embora a maioria dos tutoriais na Internet recomende que você defina session.upload_progress.cleanup como Off para fins de depuração, a configuração padrão de session.upload_progress.cleanup no PHP ainda é On. Isso significa que seu progresso de upload na sessão será limpo o mais rápido possível. Então, isso será uma Condição de Corrida. {% endhint %}

O CTF

No CTF original onde essa técnica é comentada, não foi suficiente explorar a Condição de Corrida, mas o conteúdo carregado também precisava começar com a string @<?php.

Devido à configuração padrão de session.upload_progress.prefix, nosso arquivo de SESSÃO começará com um prefixo irritante upload_progress_ como: upload_progress_controlledcontentbyattacker

O truque para remover o prefixo inicial foi codificar em base64 o payload 3 vezes e depois decodificá-lo via filtros convert.base64-decode, isso porque quando decodificamos em base64, o PHP remove os caracteres estranhos, então após 3 vezes, apenas o payload enviado pelo atacante permanecerá (e então o atacante pode controlar a parte inicial).

Mais informações no writeup original https://blog.orange.tw/2018/10/ e no exploit final https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2018/one-line-php-challenge/exp_for_php.py
Outro writeup em https://spyclub.tech/2018/12/21/one-line-and-return-of-one-line-php-writeup/

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Adquira o swag oficial do PEASS & HackTricks
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
• Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.