[Faille WEB] LFI

[Luxerails]

On peut utiliser des wrappers php:// ou data:// par exemple.
php://filter/convert.base64-encode/resource=page.php
va prendre le contenu de page.php, et va l'encoder en base64 avant de l'envoyer au stdout (donc ici la sortie de l'include, qui va afficher le base64). L'avantage étant que comme la source en php est base64-encodé, il n'est pas exécuté, et donc après décodage le contenu en entier du fichier (et donc le php) est affiché. Contrairement à un simple include page.php, où le php serait exécuté et donc impossible à récupérer.
Il y a aussi le php://input qui est interessant. En incluant php://input, on peut envoyer du php en POST, qui sera exécuté et renvoyé dans le stdout de même. Donc avec une requête du style

GET /index.php?page=php://input HTTP/1.1
Host: sitevulnerable.com

<?php phpinfo(); ?>

La doc : http://php.net/manual/fr/wrappers.php.php

intéressant, à noter également que cette faille est souvent "couplée" avec un petit null byte %00 lorsque la page est protégée avec un filtre d'extension
ex :

Code PHP :

<?php include($_GET['page'].”.php”);?>

» Parceque la fonction include de php est codée en C, et qu'un null byte désigne donc la fin de la chaine. Ainsi lors d'un include(".htpasswd\x00.php"); va inclure .htpasswd et ne pas prendre en compte le ".php".