# File upload vulnerabilities
## Lab 1: Remote code execution via web shell upload
- Trang web chứa lỗ hổng Upload File trong chức năng upload ảnh, nó không thực hiện bất kì bước kiểm tra nào đối với file do người dùng tải lên. Để giải quyết bài lab, chúng ta cần upload một Webshell PHP, từ đó đọc nội dung tệp `/home/carlos/secret`. Tài khoản hợp lệ được cung cấp: `wiener:peter`.
- Đăng nhập vào với username là wiener thì xuất hiện trang cá nhân upload hình đại diện, upload 1 ảnh bất kỳ lên thì avt sẽ được thay đổi: 
- Click chuột vào xem ảnh:
thì mình thấy ảnh sau khi upload sẽ được lưu vào `/file/avatars/`. Vì vật mình sẽ thực hiện upload một file shell.php để đọc nội dung file `/home/carlos/secret` với nội dung:
```
<?php
echo file\_get\_contents('/home/carlos/secret');
?>
```
- Hàm `file_get_contents()` sẽ lấy nội dung file `/home/carlos/secret` và được lệnh `echo` in ra.
- Sau khi upload thành công mình truy cập tới đường dẫn `https://0a8c007304d906c5809fdf0400dd0067.web-security-academy.net/files/avatars/shell.php` để xem nội dung
## Lab 2: Web shell upload via Content-Type restriction bypass
- Trang web chứa lỗ hổng file upload. Để giải quyết bài lab, chúng ta cần upload một web shell PHP nhằm đọc nội dung file `/home/carlos/secret`. Tài khoản hợp lệ được cung cấp `wiener:peter`.
- Đăng nhập với tài khoản wiener, nó vẫn cho mình trang upload ảnh đại diện, mình thử upload 1 file php shell.php như bài trước:
- Trang web báo lỗi do chỉ cho phép upload các file dạng `image/jpeg` hoặc `image/png`. Vậy nên mình đã đổi content-type thành `image/jpeg` để đúng yêu cầu của header **Content-Type**
- Ok vậy là đã thành công, đi xem nội dung `/home/carlos/secret` nào:
## Lab 3: Web shell upload via path traversal
- Trang web chứa lỗ hổng upload file, trong đó cơ chế ngăn chặn không cho phép người dùng thực thi file. Để giải quyết bài lab, chúng ta cần vượt qua cơ chế này, khai thác lỗ hổng nhằm đọc nội dung tệp `/home/carlos/secret`. Tài khoản hợp lệ được cung cấp `wiener:peter`.
- Đăng nhập với tài khoản `wiener:peter`. Upload một file **php** với nội dung như sau:
```php=
<?php
echo file_get_contents('/home/carlos/secret');
?>
```
File được upload thành công:
- Tuy nhiên, khi truy cập vào đường dẫn như các bài trước thì lại không thu được kết quả gì
-Có vẻ như ở folder `avatar` không có quyền thực thi file php nên mình chuyển qua folder trước đó là `files` bằng cách đổi tên file là `../shell.php`
- Bằng một cách thần kỳ nào đó mà `../` đã biến mất sau khi upload nên mình decode URl nó
- Truy cập vào xem nội dung thôi
## Lab 4: Web shell upload via extension blacklist bypass
- Trang web chứa lỗ hổng upload file, trong đó có một black list các extension file. Để giải quyết bài lab, chúng ta cần vượt qua cơ chế này, khai thác lỗ hổng nhằm đọc nội dung tệp `/home/carlos/secret`. Tài khoản hợp lệ được cung cấp `wiener:peter`.
- Đăng nhập với tài khoản `wiener:peter`, với chức năng upload avatar, thử tải lên một file `shell.php` với nội dung như các bài trước
- Có lẽ phần mở rộng php đã bị cho vào danh sách blacklist. Vì vậy mình đã thêm `%00.png` vào cuối file để thành`shell.php%00.png` để bypass blacklist:
- bypass qua nó thành công nhưng khi truy cập thì lại không vào được. Mình có tìm hiểu và biết được file `.htaccess` có thể cấu hình để chặn tải file php lên. **.htaccess** \- là một file có ở thư mục gốc của các hostting và do apache quản lý, cấp quyền. File **.htaccess** có thể điều khiển, cấu hình được nhiều yếu tố với đa dạng các thông số, nó có khả năng thay đổi các giá trị được set mặc định của **Apache**. Upload một file với tên `.htaccess`, thay đổi header **Content-Type** thành giá trị **text/plain**, nội dung file như sau: `AddType application/x-httpd-php .tuan`
- Như vậy, hiện tại chúng ta có thể upload các file với phần mở rộng `.tuan` và có thể thực thi các đoạn code tương đương với một file **php**.
- Truy cập tới `/avatars/shell.viblo`:
## Lab 5: Web shell upload via obfuscated file extension
- Trang web chứa lỗ hổng upload file, trong đó có một black list các extension file. Để giải quyết bài lab, chúng ta cần vượt qua cơ chế này, khai thác lỗ hổng nhằm đọc nội dung tệp `/home/carlos/secret`. Tài khoản hợp lệ được cung cấp `wiener:peter`.
- Đăng nhập với tư cách là wiener và mình vẫn tải lên file shell như các bài trước, dĩ nhiên nó cũng sẽ thông báo lỗi khi mà file tải lên nó chỉ chấp nhập jpg hoặc png:
- Mình thử thêm %00 để thử bypass qua cơ chế này và file tải lên sẽ trở thành `shell.php%00.png`, phần mở rộng trang web nhận được là `.png` không nằm trong black list, sau khi xử lý thì các ký tự bắt đầu từ ký tự Null byte được loại bỏ, tên file chỉ còn `shell.php` có thể thực thi.
- Truy cập thử vào đường dẫn để xem nội dung:
## Lab 6: Remote code execution via polyglot web shell upload
- Trang web chứa lỗ hổng trong chức năng upload avatar, với nhiều cơ chế bảo vệ nhưng vẫn có thể bị bypass. Để giải quyết bài lab, chúng ta cần khai thác lỗ hổng nhằm đọc nội dung file `/home/carlos/secret`. Tài khoản hợp lệ được cung cấp: `wiener:peter`.
- Vẫn là một quy trình đăng nhập tải file shell lên như các bài, nhưng ở đây thông báo sẽ là:
- Nó không đề cập đến phần mở rộng của file nữa, có thể ở đây nó kiểm tra nội dung của file chứ không phải là đuôi file. Để kiểm chứng điều này, mình thử tải 1 file ảnh và thêm đuôi php:
- Nó vẫn có thông báo upload thành công. Vào đường dẫn `https://0afe00610333a6e0801ef3c600ea00a9.web-security-academy.net/files/avatars/Screenshot%202023-11-03%20225728.png.php` thì ở đây nó là nội dung bên trong ảnh chứ không phải là hình ảnh:
- Vì thế mình thử chèn 1 đoạn mã php vào trong nội dung ảnh:
- Giờ đi xem nội dung cần tìm thôi
`6fU5X0bYMuXENnRBUCom6z1VG8v5wSUf`
Sign in with Wallet
Connect another wallet