LFI (Local File Inclusion)
Definición:
LFI es una vulnerabilidad web que permite ejecutar archivos localmente en el servidor (local file incluson) y tener acceso a archivos de configuración passwords etc. Esta vulnerabilidad se ve siempre en paginas webs mal parchadas o mal editadas. Un ejemplo de una vulnerabilidad LFI es la siguiente: http://www.web.com/index.php El cual puede ser explotada de la siguiente manera: http://www.web.com/index.php?page=/etc/passwd - entre muchas cosas que podemos obtener de un ataque LFI (archivos de conexión a bases de datos, scripts privados etc.) /etc/passwd es el fichero de usuarios del sistema Linux.
 
¿Cuál es el peligro de dicha vulnerabilidad? El peligro de esta vulnerabilidad es que si esta presente en un sit web, un atacante podría leer información sensible, ejecutar comandos, obtener una conexión inversa y de esta manera controlar al servidor, etc. A continuación se mostrará parte de un código PHP vulnerable. Este código es vulnerable ya que en este caso la función include de PHP recupera todo lo que solicite el usuario final. Por ende un atacante podría realizar lo siguiente: http://victima/app.php?seccion=../../../../../etc/passwd A través de este vector de ataque, el atacante podría listar el fichero passwd del sistema, y/o realizar ataques más sofisticados. Tenemos el siguiente escenario de pruebas: Posible Vulnerabilidad LFI presente En este sitio web se pemiten leer ciertos documentos informativos de otro aplicativo web (http://www.textfiles.com/hacking/atms). Para poder intentar verificar si este aplicación web es vulnerable a LFI en primer lugar revisaremos la trama que se realizar por POST. Teniendo la trama podemos observar lo siguiente: Trama de la petición por POST En la trama podemos observar que el parámetro textfile esta llamando al sitio web para mostrar la información solicitada, sin embargo es posible tratar de inyectar vectores LFI para ver si el aplicativo es vulnerable, en el parámetro textfile podemos inyectar un vector de la siguiente manera: textfile=/etc/passwd&text-file-viewer-php-submit-button=View+File textfile=../etc/passwd&text-file-viewer-php-submit-button=View+File textfile=../../etc/passwd&text-file-viewer-php-submit-button=View+File textfile=../../../etc/passwd&text-file-viewer-php-submit-button=View+File Los dos puntos, sirven principalmente para poder cambiar de directorio, ya que a veces el aplicativo se encuentra en una ruta distinta a /var/www/ y por ende podemos ir cambiando de directorio para probar si la consulta logra ser exitosa. Al parecer la consulta fue exitosa con el primer vector de ataque: Trama de la petición por POST Esta vulnerabilidad es altamente peligrosa ya que un atacante podría leer información sensible o subir archivos al sistema (no en todos los casos es posible por formas de configuración del sitio web). Si deseas practicar con esta vulnerabilidad puedes descargar el proyecto Multidae 2 de Owasp y de esta manera probar dicha vulnerabilidad https://sourceforge.net/projects/mutillidae/
 
Fuente: https://backtrackacademy.com/articulo/explotando-la-vulnerabilidad-lfi
Fecha de Creación: December 28, 2020, 8:39 pm
última Modificación: December 28, 2020, 8:39 pm

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: