본문 바로가기
  • True knowledge exists in knowing that you know nothing. -Socrates-
카테고리 없음

LFI & RFI

by intadd 2016. 12. 5.


- 웹 해킹 입문 -  책 내용의 부분을 공부한 내용입니다. (출처 아래)-





LFI & RFI는 Local과 Remote에 대한 File Inclusion(파일 포함)을 말합니다.


LFI와 RFI 를 이용하여 웹 서버에 악성 코드를 넣는 기법이다. 가장 대표적인 PHP의 include 함수이다.

이 함수의 역할은 특정 파일을 포함시켜 스크립트를 실행한다. 



제 생각에는 LFI 는 서버에 존재하는 파일을 실행시키는 방법 같습니다.


책을 읽었을 때에는 파일을 업로드 하는 건 줄 알았습니다.




file inclusion은 파일을 포함시켜 취약점을 공격하는 기법이다.

로컬 파일 업로드 LFI (Local FIle Inclusion)

원격 파일을 부르는 업로드 RFI (Remote File Inclusion)




LFI 공격 실습


대상 소스 코드



원래 책에나오는 소스코드는 .php 가 있지만 저는 %00 이라는 시스템이 인식하는 null 이 되지 않아 

생략했습니다.







- 웹 해킹 입문 -

(가상 환경에서 실습으로 익히는 기본 개념과 원리 ) 이상한 지음 

출판 : 프리텍 

에서 참고함 



댓글