Здравствуйте, дорогие друзья.
Продолжаем рассматривать уязвимости DVWA, и остановимся на Local File Inclusion Уровня Low.
LFI-уязвимости (Local File Inclusion; Включение локальных файлов) позволяют злоумышленникам через браузер подключать файлы на сервере. Эту уязвимость можно обнаружить на странице обработки входящих данных. Злоумышленник как правило загружает файлы на сервер, тем самым используя их в своих целях.
Перейдем к практике, и я покажу пример данной уязвимости, на уровне настроек безопасности Low.
Для начала их нужно выставить:
Теперь переходим в раздел File Inclusion, и видим вывод на странице, который нам подсказывает, что надо делать, а именно включать файлы:
Для эксплуатации данной уязвимости можно поиграться с выводом некоторых значений и параметров местонахождений файлов, и для этого можно проделать трюк: «../../../../../../../../etc/passwd»:
Видим вывод паролей.
На этом все. Всем хорошего дня.
