Local File Inclusion Exploit

267 palavras 2 páginas
O que é Local File Inclusion? Basicamente, essa vulnerabilidade é dada por uma referência insegura (direta) a objetos, que pode nos dar a capacidade de acessar vários arquivos do servidor. É uma vulnerabilidade gravíssima, pois permite que um usuário de fora simplesmente acesse os arquivos onde a aplicação web está instalada sem ter essa permissão. A vulnerabilidade: Podemos testar essa vulnerabilidade em um ambiente de testes chamado mutillidae. No caso, poderemos ler qualquer arquivo de texto ou de configuração que encontrarmos. Tutorial: Utilizaremos o burpsuite para explorar essa vulnerabilidade. Primeiramente, abra o burpsuite e faça o seu navegador utilizá­lo como proxy. Vamos acessar a página vulnerável no mutillidae: Podemos verificar que a página em si é um selecionador de arquivos de texto, onde você pode selecionar o texto (dentre os que estão disponíveis) que você quer ler. No entanto, essa página é vulnerável, pois é possível editar os caminhos de arquivo, para podermos acessar qualquer pasta presente no servidor. Intercepte a página com o burpsuite:

Observe que temos um parâmetro de requisição, que “pede” para acessar um arquivo com o nome “ http%3A%2F%2Fwww.textfiles.com%2Fhacking%2Fatms ”, o que é a mesma coisa que “ http://www.textfiles.com/hacking/atms ”. Clique com o botão direito na caixa de texto onde aparece a request, e em seguida clique em “Send to Repeater”. No repeater, poderemos editar o pedido de requisição, de modo a acessar um arquivo no diretório que quisermos. Como o mutillidae está instalado na minha máquina local, tentarei acessar um arquivo de texto na pasta “root” do meu Linux:

Veja o resultado:

Referências:
http://www.youtube.com/watch?v=t8w6Bd5zxbU

Relacionados

  • Invas o e Corre o em Sites
    2262 palavras | 10 páginas
  • Computador
    92325 palavras | 370 páginas
  • Owasp
    5355 palavras | 22 páginas
  • Pericia forense computacional
    16333 palavras | 66 páginas
  • Juniorfreire geek
    59981 palavras | 240 páginas
  • Nenhum
    59580 palavras | 239 páginas
  • Yii
    53079 palavras | 213 páginas
  • Programação e linguagem c
    65919 palavras | 264 páginas
  • Ole virus
    76334 palavras | 306 páginas
  • Teste
    94133 palavras | 377 páginas