در این دوره آموزشی، بررسی کاملی روی روش های مختلف برای استفاده از آسیب پذیری LFI و شرایط مختلف، در برخورد با این آسیب پذیری را به صورت عملی آموزش خواهیم داد. اگر علاقه مند به مطالعه این آسیب پذیری هستید، در این دوره با ما همراه باشید تا آسیب پذیری LFI را بدون خفه شدن قورت دهیم! 😊

این آسیب پذیری یکی از چندین آسیب پذیری معروف است که در جاهای مختلف با اسم های مختلف، انسان را غافل گیر کرده و حس پیدا کردن آسیب پذیری جدید برای یادگیری را به ما می‌دهد! 😉 LFI در واقع معادل Local File Inclusion است و برخی با اسامی زیر نیز این آسیب پذیری را نام‌گذاری می‌کنند.

Directory Traversal
Path Traversal

البته ذکر این نکته شاید بد نباشد که در گذشته واقعاً این 3 نوع نام‌گذاری مختلف، تفاوت‌های اندکی با هم داشته‌اند امّا در روزگار فعلی تفاوت چندانی بین آن‌ها نیست!

این آسیب پذیری می‌تواند در خیلی از جاها رخ دهد و در حالت کلی تشخیص آن ساده است. هر جایی که متغیرهای موجود در آدرس و یا در بدنه ی درخواست، شبیه نام یک فایل یا یک مسیر بود ممکن است بتوانید در آن جا این آسیب پذیری خوش خط و خال را پیدا کنید.

اگر بخواهیم کمی به زبان فنی صحبت کنیم می‌توان گفت که LFI زمانی رخ می‌دهد که در یک فایل، فایل دیگری را include می‌کنیم و آدرس آن را با استفاده از متغیرهای GET یا POST دریافت می‌کنیم. کد موجود در مثال زیر، کد صفحه اصلی یک وب‌سایت آسیب پذیر به LFI است که در ادامه آن را بررسی خواهیم کرد.

<?php
if (isset($_GET['page'])){
            $page = $_GET['page'];
            include 'header.php';
            include '$page';
            include 'footer.php';
} else {
            include 'header.php';
            echo '<p>welcome to index page</p>';
            include 'footer.php';
}

همان‌طور که در کد بالا مشاهده می‌کنید در ابتدای کد بررسی می‌شود که آیا متغیر page در URL مقداردهی شده است یا نه و در صورتی که مقداردهی شده بود محتوای این متغیر را include می‌کند. این نمونه کد به دلیل بررسی نکردن محتوای متغیر page و include کردن آن، آسیب پذیر به LFI شده است. اما اگر می خواستیم این کد را به صورت امن پیاده سازی کنیم همان‌طور که اشاره کردیم می‌توانستیم ورودی متغیر page را مانند مثال زیر بررسی کنیم و فقط تعدادی از مقادیر خاص را به عنوان ورودی صحیح در محتوای این متغیر بپذیریم.

<?php
if (isset($_GET['page'])){
            $page = $_GET['page'];
            if ($page == "about.php")
                        include 'about.php';
            elseif ($page == "contact.php")
                        include 'contact.php';
            elseif ($page == "store.php")
                        include 'store.php';
} else {
            include 'header.php';
            echo '<p>welcome to index page</p>';
            include 'footer.php';
}

همان‌طور که در مثال بالا مشاهده می‌کنید تنها مقادیری که برای متغیر page قابل قبول هستند about.php، contact.php و store.php هستند و در صورتی که هر مقدار دیگری در این متغیر قرار دهید صفحه index عادی برای شما نمایش داده خواهد شد. بنابراین متغیر page در حال include شدن است اما به صورت امن و غیر قابل دست کاری. به این روش در اصطلاح whitelist کردن ورودی گفته می‌شود که می‌تواند در رفع آسیب پذیری های مختلف دیگر مانند XSS و ... هم کمک کند. البته توجه داشته باشید که این روش مناسب زمانی است که انواع مقادیری که یک متغیر می‌تواند داشته باشد محدود و کم باشد در غیر این صورت باید از روش های پاک سازی ورودی استفاده کنیم که در بخش‌های آتی این دوره به آن خواهیم پرداخت. در حالت کلی روش های زیادی برای جلوگیری از این آسیب پذیری وجود دارد و مدل اشاره شده در مثال بالا تنها یک نمونه ساده برای درک بهتر ماهیت این آسیب پذیری است.

بنابراین دریافت تمام یا بخشی از آدرس یک فایل، با استفاده از متغیرهای GET یا POST بدون فیلتر کردن ورودی و include کردن آن می‌تواند منجر به دسترسی هکر به فایل‌های غیر مجاز شود. نمونه‌ای از این فرایند می‌تواند با وارد کردن آدرس فایل‌های حساسی مانند etc/passwd/ که یک فایل پیکربندی حاوی اطلاعات حساس است، انجام شود و در مواردی دیگر حتی می‌تواند منجر به اجرای کد در داخل سرور شود. حالت ها و روش های مختلفی برای این نوع حمله وجود دارد که در قسمت‌های بعد به توضیح آن‌ها خواهیم پرداخت.

حالت ساده LFI

به عنوان حالت ساده کد موجود در مثال زیر را که قبلا بررسی کردیم در نظر بگیرید.

<?php
if (isset($_GET['page'])){
            $page = $_GET['page'];
            include 'header.php';
            include '$page';
            include 'footer.php';
} else {
            include 'header.php';
            echo '<p>welcome to index page</p>';
            include 'footer.php';
}

در این حالت متغیر page که آدرس یک فایل را مشخص می‌کند در URL قابل دسترسی است و شما می‌توانید با دادن آدرس فایل دلخواه خود محتویات فایل مورد نظر را ببینید. برای مثال آدرس زیر را در نظر بگیرید.

https://example.com/index.php?page=aboutus.php

در آدرس بالا می‌توانیم با قرار دادن آدرس etc/passwd/ در متغیر page، مشخصات کاربران سرور وب‌سایت را دریافت کنیم! 😉 بسته به این که برنامه‌نویس کد سمت سرور را چگونه نوشته باشد ممکن است با دادن آدرس کامل (absolute) فایل بتوانیم به آن دسترسی پیدا کنیم و یا نیاز داشته باشیم که آدرس نسبی(relative) فایل را پیدا کنیم.

نمونه آدرس کامل:

https://example.com/index.php?page=/etc/passwd

نمونه آدرس نسبی:

https://example.com/index.php?page=../../../etc/passwd

برای بهتر متوجه شدن مثال بالا باید بدانید که در سیستم‌عامل لینوکس /. معادل دایرکتوری فعلی و /.. معادل دایرکتوری قبلی است. مثلا اگر در آدرس /etc/apache2/ باشیم در واقع /. معادل etc/apache2/ است و /.. معادل etc/ است. در واقع با گذاشتن هر /.. در ابتدای آدرس یک دایرکتوری، از دایرکتوری اصلی که برنامه‌نویس در حال include کردن فایل از آن است یک دایرکتوری به عقب می‌رویم تا به دایرکتوری / برسیم و بتوانیم وارد etc شده و فایل passwd را بخوانیم. نکته جالب اینجاست که اگر به طور مثال با عبارتی مانند etc/passwd/../../.. بتوانیم فایل passwd را بخوانیم، گذاشتن /.. های بیشتر هیچ مشکلی پیش نمی‌آورد و می‌توانیم هر چقدر دیگر که بخواهیم /.. به این عبارت اضافه کنیم. دلیل این موضوع، رسیدن به / است که دایرکتوری ریشه است و قبل از آن هیچ دایرکتوری دیگری نداریم، بنابراین اگر /../../.. معادل دایرکتوری / باشد، /../../../../../../../../.. هم معادل دایرکتوری ریشه می‌شود!

در این نقطه به پایان قسمت اول این دوره می‌رسیم و زمان خداحافظی است! در این بخش از دوره آموزشی LFI با هم یاد گرفتیم که LFI چیست و مفاهیم ابتدایی لازم برای درک آن را آموختیم. در ظاهر با این آسیب پذیری می‌توان فقط محتوای فایل ها را خواند، اما اگر منتظر اتفاق های خطرناک تر هستید در بخش‌های بعدی این دوره با ما همراه باشید. منتظر سؤالات چالشی و نظرات ارزشمند شما هستیم! تا قسمت بعدی دوره شما را به خداوند بزرگ می سپاریم! 😊

آشنایی با LFI و نمونه ساده ای از آن