Bypassare le funzioni di disabilitazione e i filtri di caricamento di PHP | ProvaHackMe

Cos'è una vulnerabilità nel caricamento di file?

Questa vulnerabilità si verifica nelle applicazioni web dove esiste la possibilità di caricare un file senza essere controllati da un sistema di sicurezza che limita i potenziali pericoli.

Consente a un utente malintenzionato di caricare file con codice (script come .php, .aspx e altro) ed eseguirli sullo stesso server, maggiori informazioni in questo camera.

Tra le misure generalmente applicate c'è la disabilitazione di funzioni pericolose che potrebbero eseguire comandi del sistema operativo o avviare processi. Funzioni come system() o shell_exec() sono spesso disabilitate tramite le direttive PHP definite nel file di configurazione php.ini. Altre funzioni, forse meno conosciute come dl() (che permette di caricare dinamicamente un'estensione PHP), possono passare inosservate all'amministratore di sistema e non essere disabilitate. La cosa normale in un test di intrusione è elencare quali funzioni sono abilitate nel caso qualcuna sia stata dimenticata.

Una delle tecniche più semplici da implementare e poco diffusa è quella di abusare delle funzionalità mail() e putenv(). Questa tecnica non è nuova, se n'è già parlato PHP nel 2008 da gat3way, ma funziona ancora oggi. Attraverso la funzione putenv() possiamo modificare le variabili d'ambiente, permettendoci di assegnare il valore che vogliamo alla variabile LD_PRELOAD. Approssimativamente LD_PRELOAD ci permetterà di precaricare una libreria .so prima del resto delle librerie, in modo che se un programma utilizza una funzione di una libreria (libc.so per esempio), eseguirà quella nella nostra libreria invece di quella uno dovrebbe. In questo modo possiamo dirottare o “agganciare” funzioni, modificandone il comportamento a piacimento.