Vulnerabilidades de File Inclusion: LFI y RFI

Clase 9 de 14 • Curso de Hacking: Aplicaciones Web Server Side

Contenido del curso

Introducción al Hacking de Aplicaciones Web

Técnicas de Hacking de Aplicaciones Web

Despedida

14
Vulnerabilidades en aplicaciones web y técnicas de deface
00:55 min

Resumen

Comprender cómo un atacante puede leer archivos del servidor o cargar recursos externos a través de una aplicación web es fundamental para cualquier profesional de seguridad. Las vulnerabilidades de Local File Inclusion (LFI) y Remote File Inclusion (RFI) permiten exactamente eso, y su explotación puede comprometer por completo un sistema. A continuación se explica cómo funcionan, paso a paso, usando un entorno controlado de práctica.

¿Qué es file inclusion y por qué es peligrosa?

Las aplicaciones web muchas veces cargan archivos dinámicamente a través de parámetros en la URL. Por ejemplo, un parámetro como page=include.php le indica al servidor qué archivo mostrar [0:28]. Si la aplicación no valida correctamente el valor de ese parámetro, un atacante puede manipularlo para incluir archivos que no deberían ser accesibles.

En el entorno de práctica DVWA (Damn Vulnerable Web Application), la sección de file inclusion presenta tres archivos listados: File1, File2 y File3 [1:06]. Cada uno muestra información distinta, como la IP del usuario o datos del navegador. Sin embargo, al escribir manualmente file4.php en la URL, se carga un archivo oculto que no estaba listado, confirmando que la aplicación permite incluir archivos arbitrarios [1:35].

¿Cómo se explota Local File Inclusion para leer archivos del sistema?

La técnica de LFI consiste en incluir archivos locales del servidor. El truco está en usar secuencias como ..\..\ para retroceder carpetas en la estructura de directorios [1:58]. Cada ..\ representa un nivel hacia atrás.

Al agregar cinco niveles de retroceso y apuntar a etc/passwd, se logra leer el archivo de usuarios del sistema operativo [2:14].
Este archivo revela usuarios como root, games, nobody, bind, administrator, entre otros [2:30].
Si el servidor web se ejecutara como root, también sería posible leer el archivo shadow, que contiene las contraseñas cifradas [2:42].

El concepto de directory traversal es justamente esta capacidad de moverse entre carpetas usando ..\ para alcanzar archivos fuera del directorio permitido.

¿Qué otros archivos se pueden leer con LFI?

Más allá de /etc/passwd, un atacante puede obtener información valiosa de múltiples fuentes:

Los access logs de Apache, que registran todas las peticiones al servidor [2:55].
Los logs del sistema en general.
El archivo /proc/self/environ, que contiene variables de entorno del proceso actual [3:05].

Este último caso es especialmente crítico porque permite realizar un ataque avanzado: inyectar código en las variables de entorno para ejecutar comandos en el servidor y obtener una web shell, es decir, una interfaz remota que permite controlar el sistema [3:10].

¿Cuál es la diferencia entre LFI y RFI?

Mientras LFI carga archivos que ya están en el servidor, Remote File Inclusion (RFI) permite incluir archivos desde servidores externos [3:28]. En el ejemplo práctico, al colocar https://www.youtube.com como valor del parámetro, la aplicación carga el contenido procesado de YouTube directamente dentro del sitio vulnerable [3:36].

Esto puede parecer inofensivo, pero la verdadera amenaza aparece cuando se usa el protocolo FTP:

Se especifica una IP, una ruta y un archivo en un servidor FTP controlado por el atacante [3:50].
Si ese archivo es un script PHP, el protocolo FTP no lo procesa y lo entrega como texto plano.
La aplicación vulnerable sí lo interpreta como PHP y lo ejecuta en el servidor [4:00].
Esto permite cargar una web shell o un sistema completo de ejecución de comandos remotos.

¿Qué impacto tienen estas vulnerabilidades?

El alcance de LFI y RFI va desde la lectura de información sensible hasta la ejecución remota de código:

Lectura de archivos de configuración y credenciales.
Enumeración de usuarios del sistema.
Inyección de código malicioso a través de logs o variables de entorno.
Carga y ejecución de web shells remotas.
Control total del servidor comprometido.

Ambas vulnerabilidades se originan por la misma causa: falta de validación en los parámetros que determinan qué archivos incluye la aplicación. La diferencia radica en el origen del archivo, local o remoto, pero el impacto puede ser igualmente devastador.

Si quieres practicar estas técnicas en un entorno seguro, DVWA es un excelente punto de partida. ¿Has intentado explotar alguna de estas vulnerabilidades? Comparte tu experiencia en los comentarios.

Comentarios

Carlos Andrés Sánchez

student•

Seria muy genial, un curso dedicado a este tipo de vulnerabilidades a detalle, me ha parecido muy curioso y sorprendente toda ñla información que hay en esta clase, no sabia nada de este tema y me ha gustado.

Francisco Daniel Carvajal Becerra

teacher•

Este curso es introductorio, la verdad es que espero grabar el siguiente curso el cual es el mismo título que este, pero en lugar de "Server Side" ahora sería "Client Side", posteriormente un curso de Escalada de privilegios en Aplicaciones Web el cual profundiza en estas vulnerabilidades y ya después otros cursos como Hacking Web, Avanzado.

Jefferson Pacheco Suárez

student•

Profe Francisco, toda la comunidad de Cybersec de Platzi espera a por tus nuevos cursos.

Ramiro Ezequiel Bogado

student•

me gustaría mucho que se pudieran hacer cursos más avanzados sobre Explotación que es la parte que casi nadie enseña solo se muestra la vulnerabilidad pero no a aplicarla en un pentest por ejemplo que seria un poco mi objetivo con estos cursos

Jefferson Pacheco Suárez

student•

sí, por supuesto que sería interesante tener cursos de ataques avanzados. De hecho, sería genial que platzi implementara sus propias máquinas como Hack The Boc o Try Hack Me, de esta manera las personas interesadas en cybersec, se decantarían por platzi sin más.

GUILLERMO VEGA

student•

De qué manera se puede evitar o qué se puede configurar para parchar esta vulnerabilidad? Las clases de la escuela de seguridad informática son muy buenas pero muy pocas hablan sobre cómo evitar.

Francisco Daniel Carvajal Becerra

teacher•

Hay funcionalidades que se pueden desactivar, por ejemplo en php existe allow_url_include, solo la desactivas y listo. Obvio las aplicaciones que usen esa función dejaran de funcionar.

Javier Ramos

student•

Definiciones que encontre

Local File Inclusion es una vulnerabilidad web que le permite a un atacante ejecutar código PHP por medio de un archivo almacenado en el servidor de la aplicación.

-Esta técnica consiste en incluir ficheros locales, es decir, archivos que se encuentran en el mismo servidor de la web con este tipo de fallo -a diferencia de Remote File Inclusión o inclusión de archivos remotos (RFI) que incluye archivos alojados en otros servidores. Esto se produce como consecuencia de un fallo en la programación de la página, filtrando inadecuadamente lo que se incluye al usar funciones en PHP para incluir archivos.

¿Qué peligro representa esto si solo se incluyen ficheros que estén en el mismo servidor? En un escenario como este, un atacante podría modificar los parámetros de lo que se incluye, por ejemplo, podría indicarle al sitio web que se incluyan otros archivos que también están en el servidor, comprometiendo la seguridad del mismo por completo. Un ejemplo muy claro es el archivo de contraseñas como /etc/passwd en sistemas Linux.

oscar santiago Alvarez

student•

Hola buenas tardes, Quede un poco confundido con esta tecnica. ¿ Si se sube realmente informacion o archivos al Server desde el cliente ? o** lo que se hace es mas bien mostrar archivos ocultos **que el server ya tiene, como en el File 4 Hidden? , ver el archivos passwd, Shadow o ejecutar lanzar comandos desde el cliente al server ??

Francisco Daniel Carvajal Becerra

teacher•

Local FIle inclusion carga archivos internos del mismo servidor y el RFI permite cargar archivos externos en el servidor, pero no los descarga en el mismo, solo los carga en ese momento.

Juan Carlos Medrano navarro

student•

Hola buenas noches, tengo una duda, al momento de entrar al file inclusion, no me aparecen los mismos archivos de la clase, eso es por algun error?

Francisco Daniel Carvajal Becerra

teacher•

¿Que archivos te aparecen?

Luis Alberto Santiago Hernández

student•

La vulnerabilidad Remote File Inclusion (RFI) permite cargar archivos desde una ubicación remota, pero su funcionamiento depende de la configuración del servidor y de los permisos establecidos. Si no te deja usar RFI, puede deberse a que:

Configuración del servidor: La opción allow_url_include puede estar desactivada en el archivo php.ini.
Seguridad del servidor: Muchas configuraciones de servidores están diseñadas para prevenir este tipo de ataques.

Asegúrate de tener el entorno adecuado para probar RFI y considera seguir investigando o hacer prácticas en entornos seguros diseñados para aprendizaje, como DWA.

Lucila Belen Pésaro

student•

en la seccion de recursos no hay nada. Cuales serian los recursos adicionales?

Queremos la parte avanzada!

eamedranoc1

student•

Esta practica no la pude realizar por un error en DVWA que no pude solucionar.

Dejé el nivel en LOW para poder hacer la primera practica Upload:

Vulnerabilidades de File Inclusion: LFI y RFI

Introducción al Hacking de Aplicaciones Web

Hacking de Aplicaciones Web del Lado del Servidor

Configuración de Kali Linux en VMware Workstation Pro

Seguridad en Aplicaciones Web: OWASP Top 10 y Testing Guide

BurpSuite: cómo interceptar y analizar HTTP

Métodos HTTP y Códigos de Estatus: Funcionamiento y Aplicaciones

Cookies HTTP: qué son y cómo funcionan

Tipos de aplicaciones web y análisis con Wappalyzer

Técnicas de Hacking de Aplicaciones Web

File upload sin validación permite defacement

Vulnerabilidades de File Inclusion: LFI y RFI

Vulnerabilidades Full Path Disclosure y Directory Traversal

Vulnerabilidad Command Injection en Aplicaciones Web

Vulnerabilidad y Explotación de SQL Injection Manual y Automática

Cómo SQLMap automatiza inyecciones SQL

Despedida

Vulnerabilidades en aplicaciones web y técnicas de deface