FiPloit

Vulnerabilidades de Local File Inclusion (LFI) e upload de arquivo inseguro estão entre as falhas mais comuns e perigosas encontradas em aplicações web PHP. O LFI permite que atacantes leiam arquivos arbitrários do servidor manipulando parâmetros de caminho de arquivo, enquanto mecanismos de upload inseguros podem ser explorados para colocar código malicioso no servidor. Combinadas, essas vulnerabilidades criam uma cadeia de ataque devastadora que progride da divulgação de informações à execução remota de código e ao comprometimento completo do sistema.

Entendendo o Local File Inclusion

O Local File Inclusion ocorre quando uma aplicação PHP usa entrada controlável pelo usuário em funções de inclusão de arquivo como include(), require() ou file_get_contents() sem validação adequada. Um padrão de URL vulnerável como page.php?file=about.html pode ser explorado mudando o parâmetro para page.php?file=../../../../etc/passwd, usando sequências de travessia de diretório para navegar no sistema de arquivos e ler arquivos sensíveis. Alvos comuns incluem /etc/passwd para enumeração de usuários, /etc/shadow para hashes de senha, arquivos de configuração da aplicação contendo credenciais de banco de dados, e arquivos de log que podem ser envenenados para execução de código.

Técnicas avançadas de LFI incluem wrappers de filtro PHP como php://filter/convert.base64-encode/resource= para ler código-fonte PHP, injeção de byte nulo em versões antigas do PHP para contornar a adição de extensão, e envenenamento de log onde código PHP malicioso é injetado nos logs do servidor e então incluído através da vulnerabilidade LFI para obter execução de código.

Exploração de upload de arquivo inseguro

Vulnerabilidades de upload de arquivo surgem quando aplicações falham em validar adequadamente os arquivos enviados. Técnicas comuns de bypass incluem alterar o cabeçalho Content-Type para um tipo MIME permitido, usar extensões duplas como shell.php.jpg, explorar bytes nulos em nomes de arquivo, e fazer upload de arquivos com extensões PHP alternativas como .phtml, .php5 ou .pht. Uma vez que um web shell é enviado com sucesso, o atacante pode executar comandos, enumerar o servidor e pivotar para outros sistemas.

Defesa contra ataques baseados em arquivos

A prevenção requer validação de entrada usando listas de permissão para parâmetros de inclusão de arquivo, armazenamento de uploads fora da raiz web, renomeação de arquivos enviados com nomes aleatórios, validação do conteúdo do arquivo em vez de apenas extensões, e implementação de permissões de arquivo adequadas. Firewalls de aplicação web podem detectar padrões comuns de LFI, mas não devem ser a única defesa.