如何知道RFI/LFI攻击是否成功？

Question

假设攻击者想要使用脚本搜索网站上的RFI/LFI漏洞，他会用远程/本地文件列表来模糊URL。他打印从请求返回的标题。攻击者如何知道RFI/LFI何时成功？

content-length头能告诉我们什么吗？

如果RFI/LFI对一个(有效)文件不起作用，这是否意味着根本不存在这种攻击的可能性？或者我还能继续尝试其他文件吗？

Answer 1

内容长度相同的标头能告诉我们什么吗？

它可能取决于特定的服务器和应用程序。在许多情况下，HTTP响应将包含请求文件本身的内容或执行文件的输出。所以通常，您只需确认一个文件已被返回。

如果无效文件的内容长度为0，而有效文件为> 0，则可以使用。不过，我不知道是否会被切割和干燥，但也许您可以确定基线值与有效的文件命中值。但是，如果文件无效，则可能相反，特定的应用程序返回HTTP 500代码。最好尝试一下您知道存在的文件，这样您就可以根据服务器的响应方式来校准预期的响应。

如果RFI/LFI对一个(有效)文件不起作用，这是否意味着根本不存在这种攻击的可能性？

取决于如何定义“有效”。如果文件存在但您没有读取它的权限，那么您可能会得到一个负面的响应。还可能存在路径筛选或强制文件扩展名；在这些情况下，您可能只能查看某些文件。

Answer 2

LFI/RFI是代码执行攻击(由于代码是从PHP、include或require函数调用中执行的)。因此，您可以让代码执行您可以度量的任何操作。

• 对于远程文件，您应该能够观察到传入的web请求到URL并获得一个shell。
• 对于本地文件，您应该获取shell或打印特定的字符串。

如果您可能会将RFI/LFI与SSRF/LFD错误类混淆，那么仍然可以通过查看SSRF或LFD传入的URL来请求具有已知内容的文件并在响应中查找该内容(f.ex /etc/passwd应该与root:匹配)。