LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure

WhiteIntel

WhiteIntel是一个由暗网支持的搜索引擎，提供免费功能，用于检查公司或其客户是否受到窃取恶意软件的侵害。

WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。

您可以访问他们的网站并免费尝试他们的引擎：

Advance Dark web Monitoring and Threat Intelligence Platformwhiteintel.io

compress.zlib:// 和 PHP_STREAM_PREFER_STDIO

使用协议compress.zlib://和标志PHP_STREAM_PREFER_STDIO打开的文件可以继续将后续到达的数据写入到同一文件中。

这意味着可以进行如下调用：

将发送一个请求，请求http://attacker.com/file，然后服务器可能会用一个有效的HTTP响应来回应该请求，保持连接打开，并在一段时间后发送额外的数据，这些数据也将被写入文件。

您可以在php-src代码的main/streams/cast.c部分看到这些信息：

Race Condition to RCE

这个CTF 是使用之前的技巧解决的。

攻击者将使受害者服务器打开一个连接，从攻击者服务器读取文件，使用**compress.zlib**协议。

在这个连接存在的同时，攻击者将窃取临时文件的路径（被服务器泄露）。

在连接仍然打开的情况下，攻击者将利用LFI加载他控制的临时文件**。

然而，Web服务器中有一个检查，阻止加载包含<?的文件。因此，攻击者将滥用竞争条件。在仍然打开的连接中，攻击者将在Web服务器检查文件是否包含禁止字符之后发送PHP有效载荷，但在加载其内容之前。

有关更多信息，请查看竞争条件和CTF的描述https://balsn.tw/ctf_writeup/20191228-hxp36c3ctf/#includer

WhiteIntel

WhiteIntel 是一个由暗网推动的搜索引擎，提供免费功能，以检查公司或其客户是否受到窃取恶意软件的威胁。

WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。

您可以访问他们的网站并免费尝试他们的引擎：

Advance Dark web Monitoring and Threat Intelligence Platformwhiteintel.io