[Owasp-turkey] PHPInfo() Fonksiyonu Aracılığıyla LFI

Canberk BOLAT canberk.bolat at gmail.com
Mon Jun 4 15:40:26 UTC 2012


Selamlar,
Bence local'de exploit edilebilmesi zor bir acik, internet uzerindeki bir
hedefte exploit edilebilir birkac denemeyle. Upload denemesi yapildiginda
sayfa tamamen yuklenene kadar tmp dizininde saklaniyor dosya, yani cok
hizli bir sekilde sayfanin yuklenmesi bitmeden, tmp_name'den dosyaya
ulasip, LFI etmek lazim (Bir cesit race condition). O yuzden 1000 x Thread
deneme koymuslar paylastiklari exploit kodunda. Cok agir yuklenen
sayfalarda denenebilir ama local'de zor gibi gozukuyor. Belki meshur Hash
DoS acigi ile birlikte kullanilabilir -belki-.

4 Haziran 2012 11:07 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:

> Shared Hosting üzerinde barındırılan siteler için tehlikeli olur,olabilir.
>  "fileupload" her zaman on olması mecburi zaten fakat kendini yazabilmesi
> için GetTempFileName methodundan yararlanıyor. Bunu php.ini'de ki
> disabled_functions'a koyarsak direk kafasını kesmiş oluruz ama tabi php
> developerlar bu fonksiyonu sık kullanıyorlarsa kızabilirler.
>
> Ek olarak upload_tmp_dir ortak olursa çalışıyor diyorlar. Her site için
> ayrı bir upload_tmp_dir ayarı yapmıştık biz ve her site için ayrı php.ini
> müstakil olursa belki bir nevi zorlaşabilir.
>
> Oğuzhan
>
>
>
> 4 Haziran 2012 00:33 tarihinde Onur Yilmaz <contact at onuryilmaz.info>yazdı:
>
>>  Selamlar,
>>
>> Geçenlerde
>> http://www.exploit-db.com/wp-content/themes/exploit/docs/17799.pdfadresindeki makaleyi gördüm, bu teknikten daha önce haberim yoktu.
>>
>> Olayı özetlersek;
>>
>> - phpInfo() fonksiyonu çalışan bir sayfa gerekiyor. Klasik phpinfo.php
>> sayfası gibi.
>> - LFI zafiyeti bulunan bir script gerekiyor ki bunu zaten phpInfo
>> fonksiyonunu kullanarak sisteme upload ediyoruz.
>>
>> Tekniğin başarıyla uygulanması için de; sunucu da file_upload,
>> output-buffering vs. gibi bir kaç ayarın açık olması lazım.
>>
>> phpinfo fonksiyonu bulunan sayfa üzerinden tmp dizinine LFI zafiyeti olan
>> dosya upload edilip, phpinfo üzerinden bu dosya çağrılarak exploit edilmeye
>> çalışılıyor gibi basit ama kompleks bir süreç var.
>>
>> http://www.insomniasec.com/publications/phpinfolfi.py adresindeki
>> exploit ile başarıyla exploit edildiğini söylemişler ama daha önce
>> deneyenler gibi ben de şu
>> https://twitter.com/mubix/statuses/139939761329672192 hatayı aldım.
>>
>> tmp klasörünü takip ediyorum (inotifywait -m -r /tmp) komutu ile. Temp
>> dosyalar oluşuyor exploiti çalıştırdığımda ama sonuç alamıyorum.
>>
>> Özetle, ben başaramadım :) daha önce deneyen oldu ise deneyimlerini
>> bizimle paylaşabilir, hatta süreci anlatan, neden bu zafiyet oluşuyor,
>> hangi ayarları kapatmak lazım, başarıyla nasıl exploit edilir tarzında ufak
>> bir makaleyi de hazırlarsa WGT blog üzerinden yayınlarız.
>>
>> Kolay gelsin.
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Canberk Bolat
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120604/1ccfc45e/attachment-0002.html>


More information about the Owasp-turkey mailing list