Umgehen von PHP-Deaktivierungsfunktionen und Upload-Filtern | TryHackMe

Was ist eine Sicherheitslücke beim Dateiupload?

Diese Sicherheitslücke tritt bei Webanwendungen auf, bei denen die Möglichkeit besteht, dass eine Datei hochgeladen wird, ohne dass sie von einem Sicherheitssystem überprüft wird, das potenzielle Gefahren eindämmt.

Es ermöglicht einem Angreifer, Dateien mit Code (Skripte wie .php, .aspx und mehr) hochzuladen und auf demselben Server auszuführen. Weitere Informationen finden Sie in diesem Zimmer.

Zu den typischerweise angewandten Maßnahmen gehört das Deaktivieren gefährlicher Funktionen, die Betriebssystembefehle ausführen oder Prozesse starten könnten. Funktionen wie system() oder shell_exec() werden häufig durch PHP-Direktiven deaktiviert, die in der Konfigurationsdatei php.ini definiert sind. Andere Funktionen, vielleicht weniger bekannt wie dl() (mit dem Sie eine PHP-Erweiterung dynamisch laden können), können vom Systemadministrator unbemerkt bleiben und nicht deaktiviert werden. Bei einem Intrusionstest wird normalerweise aufgelistet, welche Funktionen aktiviert sind, falls eine vergessen wurde.

Eine der am einfachsten zu implementierenden Techniken und nicht sehr weit verbreitet ist der Missbrauch der Funktionen mail() und putenv(). Diese Technik ist nicht neu, sie wurde bereits gemeldet PHP im Jahr 2008 von gat3way, aber es funktioniert bis heute. Über die Funktion putenv() können wir die Umgebungsvariablen ändern, sodass wir der Variable LD_PRELOAD den gewünschten Wert zuweisen können. LD_PRELOAD ermöglicht es uns, eine .so-Bibliothek vor den übrigen Bibliotheken vorzuladen, sodass ein Programm, wenn es eine Funktion einer Bibliothek (z. B. libc.so) verwendet, die Funktion in unserer Bibliothek ausführt und nicht die, die es ausführen sollte. Auf diese Weise können wir Funktionen kapern oder „einhaken“ und ihr Verhalten nach Belieben ändern.