Durante un test di penetrazione, ho trovato un endpoint che mi consente di includere file locali e di leggere /etc/passwd
. Tuttavia non ho i permessi per leggere proc/self/environ
e /etc/shadow
.
L'endpoint ha il seguente aspetto:
http://xxxxx/directory/file.php?classes_dir=../../../../var/log/messages%00
(Webserver Apache che esegue php su Ubuntu)
Il payload sopra restituisce il seguente messaggio di errore:
Warning: require_once(../../../../var/log/messages) [function.require-once]: failed to open stream: Permission denied in /var/www/classes/file.php on line 4
Non riesco a leggere i file di registro perché ottengo il messaggio permission denied
quando provo ad accedere a /var/log/messages
, (a causa di quale avvelenamento del log sembra improbabile, in questo caso.)
La risposta a queste domande suggeriscono di esaminare i log ssh, che non sono nemmeno leggibili.
Qualche idea su come questo può essere sfruttato in RCE?