- 웹 해킹 입문 - 책 내용의 부분을 공부한 내용입니다. (출처 아래)-
LFI & RFI는 Local과 Remote에 대한 File Inclusion(파일 포함)을 말합니다.
LFI와 RFI 를 이용하여 웹 서버에 악성 코드를 넣는 기법이다. 가장 대표적인 PHP의 include 함수이다.
이 함수의 역할은 특정 파일을 포함시켜 스크립트를 실행한다.
제 생각에는 LFI 는 서버에 존재하는 파일을 실행시키는 방법 같습니다.
책을 읽었을 때에는 파일을 업로드 하는 건 줄 알았습니다.
file inclusion은 파일을 포함시켜 취약점을 공격하는 기법이다.
로컬 파일 업로드 LFI (Local FIle Inclusion)
원격 파일을 부르는 업로드 RFI (Remote File Inclusion)
LFI 공격 실습
대상 소스 코드
원래 책에나오는 소스코드는 .php 가 있지만 저는 %00 이라는 시스템이 인식하는 null 이 되지 않아
생략했습니다.
- 웹 해킹 입문 -
(가상 환경에서 실습으로 익히는 기본 개념과 원리 ) 이상한 지음
출판 : 프리텍
에서 참고함
댓글