Monthly Archives: Luty 2013

LFI2RFI

Ostatnio miałem przyjemność zmierzyć się z pewnym CTF’em (niestety był to wewnętrzny challenge rekrutacyjny pewnej firmy więc nie mogę podzielić się materiałami ani zdradzić więcej szczegółów). Generalnie był to serwer postawiony na maszynie wirtualnej, z której mieliśmy wykraść plik znajdujący się w katalogu /root.

Jak się później okazało jednym z kroków „włamu” jest wykorzystanie podatności w aplikacji webowej. Aplikacja ta posiadała podatność typu LFI (z ang. Local File Inclusion). Jest to dość popularny błąd pojawiający się w aplikacjach webowych.

!Notka: Wpis ten nie dotyczy jako takiej exploitacji błędów typu LFI/RFI, a jedynie podejścia do problemu w przypadku gdy mamy limitowaną podatność typu LFI i próbujemy ja przekształcić w RFI.

Czytaj dalej

Reklamy
Otagowane , , , , , ,