Полное руководство по тестированию безопасности уязвимости LFI с целью тестирования на ошибки и тестирования на проникновение.

Цель этой статьи  помочь тестировщикам  на проникновение, которые идентифицируют и тестируют уязвимости LFI в будущих испытаниях тестирования на проникновение путем консолидации исследований для локальных методов тестирования LFI.

Уязвимости LFI, как правило, обнаруживаются во время тестов веб-приложений, используя методы, содержащиеся в этом документе.

Кроме того, некоторые из техник, упомянутых в этой статье, также широко используются в соревнованиях стиля CTF.

Основные разделы

•      Что такое уязвимость внедрения локального файла (LFI)?
  
  
•      Идентификация уязвимостей LFI в веб-приложениях
  
  
•      PHP Wrappers
  
  
•      LFI через / proc / self / environ
  
  
•      Технология Null Byte
  
  
•      Сокращение – обход LFI
  
  
•      Засорение файла журнала
  
  
•      Отправление почтой обратного шелла
  
  

Что такое уязвимость внедрения локального файла (LFI)?

Локальное включение файлов (LFI) позволяет злоумышленнику включать файлы на сервер через веб-браузер.

Эта уязвимость существует, когда веб-приложение содержит файл без правильной дезинфекции ввода, позволяя атакующему манипулировать вводами и внедрять символы обхода пути и включать другие файлы с веб-сервера.

Ниже приведен пример кода PHP, уязвимого для включения локального файла.

<?php

$file = $_GET['file'];

if(isset($file))

{

include("pages/$file");

}

else

{

include("index.php");

}

?>

Идентификация уязвимостей LFI в веб-приложениях

/script.php?page=index.html

Тестер на проникновение попытается использовать эту уязвимость, манипулируя параметром определения местоположения файла, таким как:

/script.php?page=../../../../../../../../etc/passwd

Вышеприведенное действие является попыткой отобразить содержимое файла /etc/passwd в системе на основе UNIX / Linux.

Ниже приведен пример успешного использования уязвимости LFI в веб-приложении:

PHP Wrappers

PHP имеет номера оболочек, которыми часто можно злоупотреблять, чтобы обойти различные фильтры ввода.

PHP Expect Wrapper

PHP expect: // позволяет выполнять системные команды, к сожалению, модуль PHP expect не будет включен по умолчанию.

 php?page=expect://ls 

Пэйлоад отправляет запрос POST на сервер, например:

 /fi/?page=php://input&cmd=ls 

Пример использования php: //input  отношении DVWA:

Запрос:

Ответ веб-приложения:

Base64-декодирование строки предоставляет файл /etc/passwd:

php://filter может быть использован без кодировки base64 таким боразом:

 ?page=php://filter/resource=/etc/passwd 

PHP ZIP Wrapper LFI

Zip-врэппер обрабатывает загруженные серверные файлы .zip, позволяя тестеру на проникновение загружать zip-файл, используя уязвимую функцию загрузки файлов, и использовать его почтовый фильтр через LFI. Типичный пример атаки будет выглядеть так:

Создайте обратный шелл PHP

Сожмите в .zip-файл

Загрузите пэйлоад сжатого шелла на сервер

Используйте zip-врэппер, чтобы извлечь пэйлоад, используя: php? Page = zip: //path/to/file.zip%23shell

Вышеприведенный пример будет извлекать zip-файл в шелл, если сервер не добавит .php, переименуйте его в shell.php

Если функция загрузки файлов не позволяет загружать zip-файлы, можно попытаться обойти функцию загрузки файлов.

LFI через / proc / self / environ

Если можно включить /proc/self/environ с помощью уязвимости LFI, то введение исходного кода через заголовок User Agent является возможным вектором атаки.

После того, как код был введен в заголовок User Agent, можно использовать уязвимость LFI для выполнения /proc/self/environ и перезагрузить переменные среды, выполняя обратный шелл.

Полезные шеллы

Полезные крошечные бэкдоры PHP для вышеупомянутых методов:

 <system ('uname -a');?> 

Технология Null Byte

Null Byte инъекция обходит фильтрацию приложений в веб-приложениях путем добавления URL-кодированных «Нулевых байтов», таких как %00.

Как правило, это обходит фильтры черного списка основных веб-приложений, добавляя дополнительные нулевые символы, которые затем разрешаются или не обрабатываются веб-приложением.

Некоторые практические примеры инъекции нулевого байта для LFI:

 vuln.php?page=/etc/passwd%00



vuln.php?page=/etc/passwd%2500 

Сокращение – обход LFI

Сокращение – это еще один метод обхода черного списка.

Введя длинный параметр в механизм включения уязвимого файла, веб-приложение может «отключить» (усекать) входной параметр, который может обходить входной фильтр.

Загрязнение файла журнала

Загрязнение файла журнала – это процесс ввода исходного кода в файлы журнала в целевой системе.

Это достигается путем введения исходного кода через другие открытые службы в целевой системе, которые целевая операционная система / служба будет хранить в файлах журналов.

Например, ввод PHP обратного шела в URL-адрес, что приводит к тому, что syslog создает запись в журнале доступа apache для 404-страницы не найденной записи.

Затем файл журнала apache анализируется с использованием ранее обнаруженной уязвимости включения файлов, выполняющей вложенный обратный шелл PHP.

После ввода исходного кода в файл (ы) системы, следующим шагом будет определение местоположения файла журнала.

Во время этапа повторного обнаружения проникновения веб-сервер и, вероятно, целевая операционная система была бы идентифицирована, хорошей отправной точкой будет поиск путей по умолчанию для идентифицированной операционной системы и веб-сервера (если они еще не известны ).

Списки пэйлоадов Burp LFI FuzzDB могут использоваться совместно с  Burp для быстрого определения допустимых местоположений файла журнала в целевой системе.

Ниже приведены некоторые распространенные службы в системах Linux / UNIX:

Apache / Nginx

Внесите код в журнал доступа к веб-серверу или журналы ошибок, используя netcat, после успешной инъекции проанализируйте местоположение файла журнала сервера, используя ранее обнаруженную уязвимость LFI.

Если журналы доступа к веб-серверу огромные, может потребоваться некоторое время выполнить введенный код.

Отправить обратный шелл по email

Если целевая машина передает почту либо напрямую, либо через другую машину в сети и сохраняет почту для пользовательских www-date (или пользователя apache) в системе, тогда можно отправить по электронной почте обратный шелл.

Если для домена нет записей MX, но открыт SMTP, возможно подключение к целевому почтовому серверу и отправка почты пользователю www-data / apache.

Почта отправляется пользователю, использующему apache, например, www-data, чтобы гарантировать, что разрешения файловой системы позволят прочитать доступ к файлу /var/spool/mail/www-data, содержащему введенный код обратной оболочки PHP.

Сначала перечислите целевую систему, используя список известных имен учетной записи UNIX / Linux:

На следующем снимке экрана показан процесс отправки электронной почты через telnet пользователю www-data: