如何测试和利用LFI漏洞

Question

我希望在使用自动扫描器(如LFISuite.Any工具和提示)测试LFI漏洞时删除假阳性，我们可以使用这些工具和提示来测试端点中的LFI漏洞，如：

https://example.com/profile?p=FUZZ

https://example.com/index.html?file=FUZZ

我使用的方法

gf-patterns

• Second

• 首先尝试使用assetfinder和等工具查找可能存在潜在LFI漏洞的端点，然后当文件替换为/etc/passwd或类似的有效载荷时，使用LFI扫描器(如LFISuite或Burp入侵者到checki )查找http响应代码200。但是，即使http响应为200，结果往往是一些代码暴露，而不是可以利用根目录的内容获取shell或反向shell。

寻找与上述不同的方法或工具，试图从pdfs、urls、youtube视频中找到LFI vulnerabilities.Any指针将有很大帮助。

谢谢

Answer 1

我发现最好的方法是使用FFUF。我运行了几秒钟，然后，如果我得到许多无用的信息，我看看什么是常见的。例如，它们都可能包含485个单词，或一定数量的行或有什么内容。然后，在我给出的例子中使用--fw或-fl，以避免打印出任何具有这些值的值。

要了解更多关于FUFF的错综复杂之处，最好的站点是：https://codingo.io/tools/ffuf/bounty/2020/09/17/everything-you-need-to-know-about-ffuf.html