Durante una prueba de penetración, encontré un punto final que me permite incluir archivos locales y puedo leer /etc/passwd . Sin embargo, no tengo permisos para leer proc/self/environ y /etc/shadow .
El punto final parece:
http://xxxxx/directory/file.php?classes_dir=../../../../var/log/messages%00
(Servidor web Apache ejecutando php en Ubuntu)
La carga útil anterior devuelve el siguiente mensaje de error:
Warning: require_once(../../../../var/log/messages) [function.require-once]: failed to open stream: Permission denied in /var/www/classes/file.php on line 4
No puedo leer los archivos de registro porque recibo el mensaje permission denied cuando intento acceder a /var/log/messages , (debido a que el envenenamiento del registro parece poco probable, en este caso).
La respuesta a estas preguntas sugieren buscar en los registros ssh, lo que tampoco es legible.
¿Alguna idea de cómo se puede aprovechar esto para RCE?