LFI over PHPinfo


Где-то с год назад парни с форума rdot.org раскручивали самый красивый вектор проведения Local File Including (LFI). Суть метода заключается в пробросе нагрузки в теле загружаемого файла и обращении к нему в момент, когда файл еще содержится во временном каталоге PHP, пути к которому обычно заранее известны. Таким образом предложенный вектор LFI может использоваться даже в тех случаях, когда другие методы не работают. Если бы не одно НО!

Изучая энтропию возможных значений при генерации имени временного файла исследователи пришли к выводу, что вероятность подбора этого имени стремиться к нулю и не может быть использована на практике. После этого, было предложено вполне логичное решение. Раз подобрать случайное имя файла не удается, его можно подсмотреть. А где его можно увидеть? Например, в тестовом выводе информации об окружении phpinfo(). И понеслось...

Ознакомиться с первоисточником можно по этой ссылке. Исследования Brett Moore (благодаря которому эта информация спустилась в паблик) доступны здесь.

Комментариев нет :

Отправка комментария