This is Title
<meta charset="UTF-8"
Heading
Heading
Heading
Heading
Heading
Heading
Min Thant Naing
Min Thant Naing
Min Thant Naing
ကျွန်တော်တို့ တချိူ့ LFI ပေါက်တဲ့ ဆိုဒ်တွေမှာ တခြား ဘာမှလုပ်မရတော့တဲ့ အခြေအနေတွေမှာ ကျွန်တော်တို့ သူ့ရဲ့ တခြား subdomain တွေ or အဲ့server ပေါ်က တခြား website တွေမှာရော phpinfo file ကို ရှာကြည့်သင့်ပါတယ်။
ကျွန်တော်တို့ php မှာ file upload တင်တဲ့အခါ ကျွန်တော်တို့ တင်လိုက်တဲ့ဖိုင်ကို /tmp/ folder ထဲမှာ ယာယီ ဖိုင်တစ်ခုအနေနဲ့ ထားလိုက်ပါတယ်။ပြီးတော့မှ upload folder ကို move တာပါ။
တကယ်လို့ ကျွန်တော်တို့ phpinfo မှာကြည့်လိုက်လို့ file_uploads တင်ခွင့်ကိုလဲ on ပေးထားမယ်ဆိုရင် phpinfo file ကနေ တဆင့် upload တင်လို့ရပါတယ်။
ဒါပေမယ့် ပြန်ပြီး handle မလုပ်ထားတဲ့အတွက် သူက tmp file တစ်ခုအနေနဲ့ပဲ ရောက်သွားပြီး ပြီးရင် ပျက်သွားမှာပါ။အဲ့ tmp file path ကို phpinfo မှာ
[tmp_name] => /tmp/phpBlahBlah ဆိုပြီး ပြ ပါတယ်။
ကျွန်တော်တို့ကသာ အဲ့ဖိုင် မဖျက်ခင် ကျွန်တော်တို့ lfi request မှာ ထည့်ခေါ်သုံးမိလိုက်မယ်ဆိုရင် ကျွန်တို့ တင်လိုက်တဲ့ payload file က အလုပ်လုပ်သွားမှာပါ
github မှာ phpinfolfi.py ဆိုတဲ့ python file ရှိပါတယ်။ request ၂ ခုကို တလှည့်စီ ပို့ပြီး race condition ဖြစ်စေပြီး အပေါ်က သဘောတရားကို လုပ်သွားတဲ့ script ပါ။
htb က popcorn ကို ကျွန်တော် ဖြေတဲ့အခါမှာတော့
rename/index.php? က ဖိုင်တွေကို rename change လို့ ရပါတယ်
http://site/rename/?filename=../test.php&newfilename=../bb.php
ပြီးတော့ test.php မှာလဲ phpinfo() ကို သုံးထားပါတယ်။
ကျွန်တော် test.php ကနေ ကျွန်တော့် payload file ကို တင်ပြီး rename/index.php ကနေ အဲ့ /tmp/phpblahblah ကို /var/www/shell.php ဆိုပြီး change ခိုင်းလိုက်ပါတယ်။
python phpinfolfi.py 10.129.36.23 80
request ၂ ခု ထပ်ခါထပ်ခါ ပို့နေပြီး တစ်ကြိမ် ကြိမ်မှာ tmp folder ထဲက ဖိုင် မဖျက်မိခင် ဒုတိယ rename request အလုပ်လုပ်သွားတဲ့အခါ /var/www/shell.php ဆိုပြီး ကျွန်တော်တို့ shell file ရောက်သွားပါတယ်။
Mr.Th4nt 