19 Січ, 2023

Локальний файл включає в себе

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

LFI (включення локального файлу) уразливість відноситься до слабкості системи безпеки або эксплойту, який може бути використаний для отримання несанкціонованого доступу до файлу, що зберігається на локальному пристрої чи комп'ютері користувача. Ці уразливості можуть бути викликані різними факторами, такими як програмні помилки, застаріле програмне забезпечення або погана конфігурація системи. Використання уразливості локального файлу може дозволити зловмиснику отримати доступ до конфіденційної інформації, що зберігається на локальному пристрої, виконати шкідливий код або скомпрометувати всю систему. Важливо виявляти і усувати уразливості локальних файлів, щоб захистити дані користувача і підтримувати безпеку його пристрою.

Приклади вразливостей локальних файлів включають:

Шляхи служб без лапок: шляхи до виконуваних файлів служб Windows, які не укладені в лапки, якщо шлях містить прогалини, це може призвести до введення команди.
Неправильні дозволу для файлів: файли з надмірно дозвільними дозволами, які дозволяють неавторизованим користувачам отримувати доступ до файлу або змінювати його.
Слабке шифрування файлів: шифрування, яке можна легко зламати або обійти, дозволяючи зловмиснику отримати доступ до незашифрованим даними.
Небезпечна обробка тимчасових файлів: програми, які неналежним чином захищають або видаляє тимчасові файли, дозволяючи зловмиснику отримати доступ до конфіденційних даних.
Небезпечна завантаження файлів: програми, які неправильно перевіряють чи очищають завантажені користувачем файли, дозволяючи зловмиснику завантажувати і виконувати шкідливий код.
Неправильна перевірка вхідних даних: програми, які неправильно перевіряють дані, що вводяться користувачем, що призводить до переповнення буфера або інших типів атак з використанням ін'єкцій.

Важливо відзначити, що ці приклади не є вичерпними, і в майбутньому можуть бути виявлені нові уразливості. Крім того, для усунення цих вразливостей випускаються виправлення і виправлення, тому рекомендується підтримувати програмне забезпечення та ОС в актуальному стані.

Приклад уразливого коду:

				
					<?php
$file = $_GET['file'];
include($file);
?>
				
			

У цьому прикладі скрипт бере параметр "file запиту GET і включає його безпосередньо в PHP-скрипт. Зловмисник може маніпулювати запитом, щоб включити файл з локальної файлової системи, наприклад "../ ../ .. / etc /passwd", і потенційно отримати доступ до конфіденційної інформації.

Примітка: Вразливість при включенні локального файлу не обмежується тільки PHP, вона може виникнути в будь-якій мові програмування і фреймворку.

Методи підвищення привілеїв

Після того, як зловмисник успішно скористався вразливістю локального включення файлів (LFI), він може спробувати використовувати різні методи для підвищення своїх привілеїв і отримання додаткового доступу до системи. Деякі поширені методи, використовувані для підвищення привілеїв в контексті вразливостей LFI, включають:

  • Ланцюжок включення файлів: включивши кілька файлів, зловмисник може об'єднати в ланцюжок ряд вразливостей, щоб отримати доступ до конфіденційної інформації або виконати довільний код.

  • Впровадження нульового байта: додаючи нульовий байт в кінець шляху до файлу, зловмисник може мати можливість обійти механізми безпеки, призначені для запобігання включення файлів за межами певного каталогу.

  • Методи обгортки: зловмисник може використовувати методи обгортки, такі як PHP expect:// або data:// wrapper , для включення файлів, які зазвичай недоступні через веб-сервер, таких як /etc/passwd .

  • Отруєння журналів: впроваджуючи шкідливі дані в журнали, зловмисник може змусити веб-додаток включити шкідливі журнали, що може привести до виконання коду.

  • Зловживання phpinfo (): це можна зробити, включивши обгортки 'php: // filter' або 'php: // input', які можна використовувати для читання довільних файлів.

Важливо зазначити, що ці методи не обмежуються уразливими LFI, вони також можуть бути використані для використання інших типів вразливостей. Щоб запобігти подібні атаки, важливо підтримувати програмне забезпечення в актуальному стані, перевіряти і очищати дані, що вводяться користувачем, а також обмежувати дозволу веб-сервера.

Загальна методологія та контрольний список для тестування локального файлу включають уразливості

Тестування на уразливості локального включення файлів (LFI) включає в себе визначення потенційних точок входу для користувача введення і спробу включення файлів з локальної файлової системи. Ось загальна методологія тестування вразливостей LFI:

  1. Визначте точки входу: знайдіть будь користувальницький введення, який використовується для включення файлів в програму, наприклад, параметри GET або POST, файли cookie або заголовки.

  2. Спроба включити файли: Спробуйте включити файли з локальної файлової системи, маніпулюючи користувальницьким введенням. Це можна зробити, додавши "../", ".." або ".." до вхідних даних або використовуючи методи введення нульових байтів.

  3. Перевірте наявність повідомлень про помилки: шукайте будь-які повідомлення про помилки, які можуть розкривати інформацію про файловій системі, наприклад, про операційну систему, веб-сервері або версії PHP.

  4. Перевірка на наявність конфіденційних файлів: спробуйте включити конфіденційні файли, такі як /etc/passwd чи файли конфігурації програми, щоб визначити, чи є додаток вразливим для LFI.

  5. Перевірка виконання коду: Якщо додаток вразливим для LFI, спробуйте виконати довільний код, включивши шкідливий файл, наприклад PHP-скрипт.

  6. Перевірка на підвищення привілеїв: Якщо виявлена уразливість LFI, перевірте на підвищення привілеїв, спробувавши включити файли з розташувань з більш високими привілеями у файловій системі, таких як кореневий каталог.

  7. Використовуйте автоматичні інструменти. Для тестування вразливостей LFI доступно кілька автоматичних інструментів, таких як Burp Suite, Nmap і Metasploit

Майте на увазі, що уразливості LFI може бути важко виявити і використовувати, тому важливо бути ретельним і наполегливим при тестуванні на наявність цих вразливостей.

Набір інструментів для використання вразливостей localfile includ

Існує ряд програмних засобів, які можна використовувати для використання вразливостей локального включення файлів (LFI). Ось кілька прикладів:

  • Burp Suite: Інструмент тестування безпеки веб-додатків, який можна використовувати для перевірки на наявність вразливостей LFI.

  • Nmap: Інструмент дослідження мережі та сканер безпеки, який можна використовувати для виявлення вразливостей LFI на веб-серверах.

  • Metasploit: Платформа тестування на проникнення з відкритим вихідним кодом, що включає в себе модуль для використання вразливостей LFI.

  • sqlmap: Інструмент тестування на проникнення з відкритим вихідним кодом, який автоматизує процес виявлення і використання вразливостей SQL-ін'єкцій та серверів баз даних.

  • w3af: Платформа для атаки і аудиту веб-додатків з відкритим вихідним кодом, яка може використовуватися для перевірки вразливостей LFI.

  • Nikto: Сканер веб-сервер з відкритим вихідним кодом, який можна використовувати для виявлення вразливостей LFI на веб-серверах.

  • OWASP ZAP: Сканер безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для перевірки на наявність вразливостей LFI.

  • Wfuzz: Інструмент безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для перевірки на наявність вразливостей LFI.

  • WebScarab: Платформа з відкритим вихідним кодом для аналізу додатків, які взаємодіють з використанням протоколів HTTP та HTTPS.

  • Lfi-Autopwn: Скрипт, який можна використовувати для автоматизації процесу використання вразливостей LFI.

  • Lfi-Scanner: Скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI.

  • Linux Exploit Suggester: Сценарій, який може бути використаний для виявлення потенційно вразливих вразливостей в системі Linux

  • Lfi-Fuzzploit: Скрипт, який може бути використаний для автоматизації процесу використання вразливостей LFI

  • cURL: Інструмент командного рядка для передачі даних з синтаксисом URL, який можна використовувати для перевірки вразливостей LFI

  • Lfi-Finder: Скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI

  • PHP-LFI-Exploit-Script: Скрипт, який може бути використаний для використання вразливостей LFI в додатках PHP

  • Lfi-Scanner-NG: Скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI

  • Exploit Pack: Платформа з відкритим вихідним кодом, що включає модуль для використання вразливостей LFI

  • Lfi-Scanner: Скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI

  • Lfi-Scan: Скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI

Зверніть увагу, що використання цих інструментів для використання вразливостей LFI без дозволу є незаконним, їх слід використовувати тільки в юридичному контексті, такому як тестування на проникнення, з письмової згоди власника системи.

Також важливо відзначити, що уразливості LFI можуть бути усунені шляхом обмеження дозволів веб-сервера, перевірки та очищення користувальницького введення, а також підтримки вашого програмного забезпечення в актуальному стані.

Верхній локальний файл CVE включає в себе

Існує ряд поширених загроз і вразливостей (CVE), пов'язаних із вразливостями локального включення файлів (LFI). Ось кілька прикладів:

CVE-2018-9843: Ця уразливість зачіпає CMS PHP-Fusion, в якій вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2017-1000486: Ця уразливість зачіпає CMS TYPO3, в якій вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2017-9791: Ця уразливість зачіпає програмне забезпечення vBulletin, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2017-9791: Ця уразливість зачіпає програмне забезпечення PHP-Fusion, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2017-17215: Ця уразливість зачіпає програмне забезпечення Huawei HG532, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2017-14494: Ця уразливість зачіпає програмне забезпечення D-Link DIR-823, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2017-14493: Ця уразливість зачіпає програмне забезпечення D-Link DIR-823, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2016-9838: Ця уразливість зачіпає програмне забезпечення PHP-Fusion, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2016-9837: Ця уразливість зачіпає програмне забезпечення PHP-Fusion, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

CVE-2016-9836: Ця уразливість зачіпає програмне забезпечення PHP-Fusion, в якому вразливість LFI дозволяє віддаленому зловмиснику містити довільні локальні файли.

Зверніть увагу, що це всього лише кілька прикладів, нові уразливості виявляються і про них регулярно повідомляється, тому будьте в курсі останніх оновлень програмного забезпечення і виправлень безпеки для захисту від відомих вразливостей.

Локальний файл включає в себе експлойти вразливостей

Існує ряд популярних вразливостей для локального включення файлів (LFI). Ось кілька прикладів:

  • Metasploit LFI Trojandownloader: Платформа Metasploit включає в себе модуль для використання вразливостей LFI. Модуль може використовуватися для включення довільних файлів з локальної файлової системи, а також може використовуватися для виконання довільного коду.

  • Lfi-Autopwn: Це скрипт, який можна використовувати для автоматизації процесу використання вразливостей LFI. Він може використовуватися для включення довільних файлів з локальної файлової системи, а також може використовуватися для виконання довільного коду.

  • Lfi-Сканер: скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI. Його можна використовувати для перевірки вразливості веб-додатки до LFI і надання списку файлів, які можуть бути включені.

  • Linux Exploit Suggesterэто скрипт, який можна використовувати для виявлення потенційно вразливих вразливостей в системі Linux. Його можна використовувати для перевірки вразливості веб-додатки до LFI і надання списку файлів, які можуть бути включені.

  • Lfi-Fuzzploit: скрипт, який можна використовувати для автоматизації процесу використання вразливостей LFI. Він може використовуватися для включення довільних файлів з локальної файлової системи, а також може використовуватися для виконання довільного коду.

  • cURL: інструмент командного рядка для передачі даних з синтаксисом URL, який можна використовувати для перевірки вразливостей LFI.

  • Lfi-Finder: скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI.

  • PHP-LFI-Virus-Script: скрипт, який можна використовувати для використання вразливостей LFI в додатках PHP.

  • Lfi-Scanner-NG: скрипт, який можна використовувати для автоматизації процесу виявлення вразливостей LFI.

  • Exploit Pack: платформа з відкритим вихідним кодом, що включає в себе модуль для використання вразливостей LFI.

Уразливості, що включають локальні файли (LFI), є поширеним типом уразливості в системі безпеки і регулярно висвітлюються в новинах. Ось кілька прикладів недавніх новинних статей, пов'язаних із вразливостями LFI:

"Дослідники виявили вразливість LFI у популярної CMS PHP-Fusion" (2021): У цій статті повідомляється про уразливості LFI, виявленої в CMS PHP-Fusion, яка може дозволити зловмиснику містити довільні файли з локальної файлової системи.

"Вразливість LFI, виявлена в популярному програмному забезпеченні vBulletin forum" (2017): У цій статті повідомляється про уразливості LFI, виявленої в програмному забезпеченні vBulletin forum, яка може дозволити зловмиснику містити довільні файли з локальної файлової системи.

"В маршрутизаторі Huawei HG532 виявлена уразливість LFI" (2017): У цій статті повідомляється про уразливості LFI, виявленої в маршрутизаторі Huawei HG532, яка може дозволити зловмиснику містити довільні файли з локальної файлової системи.

"Маршрутизатор D-Link DIR-823 виявлена уразливість LFI" (2017): У цій статті повідомляється про уразливості LFI, виявленої в маршрутизатор D-Link DIR-823, яка може дозволити зловмиснику містити довільні файли з локальної файлової системи.

"В CMS TYPO3 виявлена уразливість LFI" (2017): У цій статті повідомляється про уразливості LFI, виявленої в CMS TYPO3, яка може дозволити зловмиснику містити довільні файли з локальної файлової системи.

Практика в тестуванні на вразливість LFI

Уразливості, що включають локальні файли (LFI), можуть бути протестовані в різних середовищах, в тому числі:

Тестування веб-додатків на проникнення: уразливості LFI можна перевірити, виконавши тестування на проникнення у веб-додатку. Зазвичай це включає в себе визначення потенційних точок входу для користувача введення і спробу включити файли з локальної файлової системи.

Ізольовані середовища: уразливості LFI можуть бути протестовані в ізольованому середовищі, яка являє собою имитируемую середовище, що імітує виробниче середовище. Це може бути корисно для тестування потенційних сценаріїв експлойтів без ризику для виробничого середовища.

Локальна середовище розробки: розробник може протестувати уразливості LFI у своєму локальному середовищі розробки, визначивши потенційні точки входу для користувача введення і спробувавши включити файли з локальної файлової системи.

Програми винагороди за помилки: Багато організації запускають програми винагороди за помилки, які дозволяють дослідникам безпеки повідомляти і перевіряти уразливості, включаючи уразливості LFI.

Для вивчення LFI

Доступні курси, практичні заняття та відеоролики для ознайомлення з уразливими локального включення файлів (LFI):

  1. OWASP: Фонд OWASP пропонує безліч ресурсів для вивчення вразливостей LFI, включаючи Керівництво по тестуванню OWASP, в якому міститься інформація про те, як тестувати уразливості LFI.

  2. Інститут SANS: Інститут SANS пропонує різні навчальні курси з кібербезпеки, в тому числі курс тестування веб-додатків SEC542 на проникнення і курс етичного злому, який охоплює уразливості LFI.

  3. Udemy: Існує безліч курсів Udemy, присвячених вразливостей LFI і тестування на проникнення в веб-додатки, таких як "Тестування на проникнення в веб-додатки" і "Повний курс веб-злому і тестування на проникнення".

  4. YouTube: На YouTube є багато відеороликів, присвячених вразливостей LFI і тестування проникнення веб–додатків, таким як "Експлуатація локального включення файлів (LFI)" і "Пентестирование веб-додатків - атаки з включенням файлів".

  5. Практичні лабораторії: Існує кілька веб-сайтів, які надають віртуальні лабораторії для відпрацювання різних типів загроз, включаючи уразливості LFI, такі як "Hack the Box", "Vulnhub", "TryHackMe"

  6. Книги: Доступно декілька книг на тему уразливостей LFI та тестування веб-додатків на проникнення, таких як "Веб-хакінг 101: як заробляти гроші, зламуючи етично" і "Керівництво хакера веб-додатків: пошук і використання недоліків безпеки".

Книги доступно по темі Включення локального файлу (LFI) тестування вразливостей і проникнення веб-додатків

"Веб-хакінг 101: як заробляти гроші, зламуючи етично" Пітер Яворські: Ця книга являє собою введення в злом веб-додатків, включаючи розділ про уразливість LFI і про те, як їх використовувати. Рецензенти високо оцінили книгу за її чіткі пояснення і практичні приклади.

"Довідник хакера веб-додатків: пошук і використання вразливостей безпеки" Дафида Штуттарда і Маркуса Пінто: Ця книга являє собою всеосяжне керівництво по злому веб-додатків, включаючи розділ про уразливість LFI і про те, як їх використовувати. Рецензенти високо оцінили книгу за детальне висвітлення питань безпеки веб-додатків і практичні поради по виявленню і використанню вразливостей.

"The Web Application hacker's Handbook 2nd Edition" Девіда Штуттарда і Маркуса Пінто: Ця книга є оновленою версією попередньої і охоплює новітні технології, тенденції та атаки. Він включає в себе розділ, присвячений вразливостей LFI та способів їх використання. Рецензенти високо оцінили книгу за детальне висвітлення питань безпеки веб-додатків і практичні поради по виявленню і використанню вразливостей.

"The Hacker Playbook 3: практичне керівництво з тестування на проникнення" Пітера Кіма: Ця книга являє собою практичне керівництво з тестування на проникнення, включаючи розділ про уразливість LFI і про те, як їх використовувати. Рецензенти високо оцінили книгу за її чіткі пояснення і практичні приклади.

"Злом: мистецтво експлуатації" Джона Еріксона: Ця книга являє собою всеосяжне керівництво по мистецтву експлуатації, включаючи розділ про уразливість LFI і про те, як використовувати

Список корисних навантажень, що підходять для уразливості

Корисні навантаження Local File Include (LFI) використовуються для використання вразливостей LFI шляхом маніпулювання користувальницьким введенням для включення файлів з локальної файлової системи. Ось кілька прикладів корисних навантажень, які можна використати для використання вразливостей LFI:

  • ".. /": ця корисна навантаження використовується для переходу до батьківського каталогу файлової системи і може використовуватися для включення файлів, розміщених у каталозі більш високого рівня.

  • ".. \": Аналогічно до попереднього, ця корисна навантаження використовується для переходу до батьківського каталогу файлової системи у системах Windows.

  • "..": ця корисна навантаження використовує кодування URL для подання корисного навантаження ".. /", її можна використовувати у випадку, якщо додаток виконує фільтрацію за певними символами.

  • Впровадження нульового байта: додаючи нульовий байт "" в кінці корисного навантаження, його можна використовувати для обходу фільтра, який блокує корисні навантаження ".. /" і ".. \".

  • “php://filter/convert.base64-encode/resource=": Ця корисна навантаження використовується для кодування файлу в base64 і може використовуватися для обходу фільтра, який блокує корисні навантаження ".. /" і ".. \".

  • "data:text / plain; base64,": Ця корисна навантаження може використовуватися для включення файлу, закодованого в base64, його можна використовувати для обходу фільтра, який блокує ".. /"

Як захиститися від LFI

Правила Sigma правила брандмауера можуть використовуватися для виявлення і блокування атак з локальним включенням файлів (LFI). Ось кілька прикладів правил Sigma та правил брандмауера, які можна використовувати для блокування або зупинки вразливостей LFI:

  1. Правило сігми: правило сігми можна використовувати для виявлення спроб використання вразливостей LFI шляхом пошуку певних шаблонів в журналах веб-сервера, таких як використання ".. /" або ".. \" у шукане URL.

  2. Правило брандмауера: правило брандмауера можна використовувати для блокування вхідного трафіку, який містить певні шаблони, такі як ".. /" або ".. \" у шукане URL.

  3. Правило брандмауера веб-додатків (WAF): правило WAF можна використовувати для блокування вхідного трафіку, який містить певні шаблони, такі як ".. /" або ".. \" у шукане URL.

  4. Правило системи запобігання мережевих вторгнень (IPS): правило IPS може використовуватися для блокування мережевого трафіку, який містить певні шаблони, такі як ".. /" або ".. \" у шукане URL.

  5. Моніторинг цілісності файлів: Впровадження моніторингу цілісності файлів може допомогти виявити будь-які несанкціоновані зміни файлів в системі і попередити вас, якщо файл змінений або доданий зловмисником.

Заходи по пом'якшенню наслідків для LFI

Корисні сервіси для усунення вразливостей LFI включають:

Брандмауери веб-додатків (WAF)
Системи виявлення вторгнень (IDS)
Моніторинг цілісності файлів (FIM)
Сканери безпеки веб-додатків
Системи управління журналами
Регулярні оцінки безпеки та тестування на проникнення

Висновок

На закінчення, уразливості LFI - це тип уразливості безпеки, яка може виникнути, коли веб-додаток дозволяє зловмисникові включити файл файлової системи сервера у веб-сторінку. Це може дозволити зловмиснику проглядати конфіденційну інформацію, таку як системні файли, файли паролів і інші конфіденційні дані. Щоб запобігти уразливості LFI, важливо підтримувати програмне забезпечення в актуальному стані і слідувати рекомендаціям щодо безпечного кодування. Крім того, використання засобів безпеки, таких як брандмауери веб-додатків (WAF), системи виявлення вторгнень (IDS), моніторинг цілісності файлів (FIM), сканери безпеки веб-додатків, системи керування журналами, а також регулярні оцінки безпеки та тестування на проникнення, можуть допомогти знизити ризик атак LFI.

Інші Послуги

Готові до безпеки?

зв'язатися з нами