Web shell upload via obfuscated file extension

Link:

Description:

This lab contains a vulnerable image upload function. Certain file extensions are blacklisted, but this defense can be bypassed using a classic obfuscation technique.

To solve the lab, upload a basic PHP web shell, then use it to exfiltrate the contents of the file /home/carlos/secret. Submit this secret using the button provided in the lab banner.

You can log in to your own account using the following credentials: wiener:peter

Proof of concept:

  1. Analisa fitur-fitur pada web target menggunakan akun testing

  2. Dari hasil analisa terdapat fitur upload file pada halaman My Account

  3. Dari analisa, pada fitur file upload tersebut hanya mengizinkan file JPG dan PNG yang dapat diupload

  4. Ketika file dengan ekstension .php dipaksa untuk di upload, maka file tersebut akan ditolak dan akan menampilkan pesan kesalahan yang dimana hanya file JPG dan PNG yang diizinkan

  5. Kirim request tersebut ke burp suite repeater. Jika sudah coba lakukan perubahan ekstension file menjadi .php5, .phtml dan lain sebagainya untuk melakukan bypass validasi/filterisasi ekstension pada fitur file upload tersebut

  6. Namun cara tersebut gagal. Dari hasil analisa, didapati untuk melakukan bypass adalah dengan cara menambahkan layer ekstension baru seperti informasi yang didapati dari Hacktricks. Yaitu dengan menggunakan atau menambahkan %00.png%00.jpg setelah ekstension file .php

  7. Dan terlihat seperti gambar diatas, menunjukan terdapat response file tersebut berhasil diupload dengan ekstension file .php. Setelah itu, akses file tersebut dengan cara klik kanan pada gambar profile dan pilih “Buka Gambar di Tab Baru”

  8. Namun ketika diakses file tersebut terdapat keterangan error file not found. Itu dikarenakan masih mengakses file yang %00.png%00.jpg. Maka hapus %00.png%00.jpg sisakan ekstension file .php untuk dapat mengakses file tersebut. Hal itupun telah diinformasikan pada response dari request di langkah nomor 6 sebelumnya

  9. File phpinfo.php pun berhasil tereksekusi ditandai dengan ditampilkannya informasi mengenai php dari sistem target. Dari kerentanan ini juga memungkinkan untuk membaca atau mendapatkan informasi sensitif. Sebagai contoh disini menggunakan script dibawah untuk mendapatkan informasi pada file /etc/passwd <?php echo readfile("/etc/passwd") ?>

  10. Untuk menyelesaikan tangtangan lab ini, baca file secret pada direktori /home/carlos dengan menggunakan script atau syntax php berikut ini <?php echo readfile("/home/carlos/secret") ?>

  11. Seperti yang dapat dilihat pada gambar diatas, ditampilkan isi dari file secret tersebut. Salin isi dari file secret tersebut dan lakukan submit untuk menyelesaikan tangtangan lab ini. Untuk angka terakhir tidak perlu disalin, dikarenakan itu merupakan nilai bytes dari file tersebut bukan isi dari konten file tersebut

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousFile Upload VulnerabilitiesNextOAuth Authentication

Last updated