search
Ana sayfaTelegram
Page cover

Local File Inclusion (LFI)

hashtag
Local File Inclusion (LFI) Nedir?

Local File Inclusion (LFI), bir web uygulamasındaki güvenlik açıklıklarından biridir. Bu açıklık, kullanıcının girişlerini kontrol etmeden veya doğru bir şekilde denetlemeden web uygulamasının dosya sistemi üzerindeki yerel dosyalara erişmesine izin verir. Genellikle URL parametreleri veya kullanıcı girişleri aracılığıyla gerçekleşir.

Bir saldırgan, LFI açığı kullanarak web sunucusunun dosya sisteminde gezinip hassas bilgilere erişebilir veya kötü amaçlı kodları yürütebilir. Bu nedenle geliştiriciler ve sistem yöneticileri, web uygulamalarını güvenli tutmak ve LFI gibi güvenlik açıklarını önlemek için gerekli önlemleri almalıdır.

hashtag
LFI Zafiyetine Sebep Olabilecek Kodlar:

include: Belirtilen dosyayı dahil eder. Eğer dosya bulunamazsa sadece bir uyarı (warning) verir ve işleme devam eder.

include_once: Belirtilen dosyayı yalnızca bir kez dahil eder. Eğer dosya önceden dahil edilmişse tekrar dahil etmez.

require: include gibi dosyayı dahil eder ancak dosya bulunamazsa hata (fatal error) verir ve işlemi durdurur.

require_once: Belirtilen dosyayı yalnızca bir kez dahil eder. Eğer dosya önceden dahil edilmişse tekrar dahil etmez. require gibi, dosya bulunamazsa hata (fatal error) verir ve işlemi durdurur.

hashtag
Hatalı Kod Örneği 1:

    <a href="?page=anasayfa.php">Ana Sayfa</a>
    <a href="?page=hakkinda.php">Hakkında</a>
    <a href="?page=iletisim.php">İletişim</a><br>
    <?php
    if (isset($_GET['page'])) {
        $page = $_GET['page'];
        include($page);
    }
    ?>

Bu kodda LFI açığı mevcuttur. Çünkü kullanıcı tarafından kontrol edilebilen $_GET['page'] parametresi doğrudan include ifadesinde kullanılıyor. Bu durum kötü niyetli kullanıcıların URL'deki page parametresine geçerli olmayan veya zararlı bir dosya yolu sağlayarak web uygulamasının dosya sistemi üzerindeki diğer dosyaları dahil etmelerine olanak tanır.

hashtag
Zafiyetin Tespiti:

Saldırgan, örneğin http://localhost/?page=/etc/passwd gibi bir URL ile bu uygulamayı kullanarak sistem dosyalarına erişebilir. /etc/passwd yazarak erişilemeyen durumlarda

‘http://localhost/?page=../../../../../../etc/passwd’ ile dizin atlayarak sistem dosyalarına erişilebilir.

hashtag
Zafiyetin Çıktısı:

hashtag
Hatalı Kod Örneği 2:

Bu kod, kullanıcı tarafından sağlanan $page değişkenindeki ../ ve ..\" dizin yatay geçiş girişimlerini temizlemeye çalışıyor.

str_replace fonksiyonu, bir dizede belirtilen alt dizeleri başka bir alt dize ile değiştirir. Bu durumda, ../ ve ..\" ifadeleri boş dize ile ("") değiştiriliyor.

hashtag
Zafiyetin Tespiti:

Saldırgan bu sefer ‘http://localhost/?page=....//....//....//....//....//....//etc/passwd’ şekilde dizin atlayarak sistem dosyalarına erişilebilir.

hashtag
Zafiyetin Çıktısı:

hashtag
Hatalı Kod Örneği 3:

Bu kod “.php” uzantısını sayfa adının sonuna sonradan ekler. page=/etc/passwd yazdığında sonuna “.php” eklediğinde /etc/passwd.php olacağı için kod hata verecektir ve passwd dosyası görüntülenmeyecektir.

hashtag
Zafiyetin Tespiti:

Saldırgan http://localhost/?page=../../../../../../etc/passwd%00 seklinde sona null bayt karakteri koyarak sistem dosyalarına erişebilir.

İşletim sistemleri ve çoğu programlama dilinde, bir null bayt karakteri ile karşılaşıldığında bu genellikle dizgenin sonu olarak kabul edilir. Null bayt, dizgenin sonunu belirtir ve bu nedenle bir dizge içinde null baytın bulunması o noktadan sonraki karakterlerin görmezden gelinmesine neden olabilir.

Eğer bir kullanıcı /etc/passwd%00.php gibi bir dosya adı sağlarsa, yazılım bu ismi /etc/passwd olarak değerlendirebilir ve güvenlik önlemlerini atlayabilir.

NOT: Null Bayt zafiyeti PHP 5.3.4arrow-up-right sürümü ile kapatılmıştır. Daha önceki sürümlerde çalışmaktadır.

hashtag
php://filter Tekniği İle Sayfa Kaynak Kodlarını Öğrenme:

  • http://localhost/projeler/lfi/?page=php://filter/convert.base64-encode/resource=index.php

php://filter tekniği ile sayfa kaynak kodları öğrenilebilir. Yukarıdaki örnekte görüldüğü gibi index.php sayfasının kaynak kodlarını base64 e encode edilmiş bir şekilde öğrenebiliriz.

hashtag
Zafiyetin Çıktısı:

Yukarıdaki kodu base64 decodera attığımızda index.php sayfasının kaynak kodunu görebiliriz:

Base64 kodunun decode edilmiş hali:

hashtag
Lfı Zafiyetinden Korunma Yöntemleri:

  • Beyaz Liste (Whitelist) Kullanımı: Dosya adlarını kabul edilebilir bir listede sınırlamak, istemcinin sadece belirli dosyaları dahil etmesine izin verir. Bu, LFI saldırılarını önler.

  • Kullanıcı Girişlerinin Doğru İşlenmesi: Kullanıcı tarafından sağlanan girişlerin doğru bir şekilde denetlenmesi ve işlenmesi önemlidir. Özellikle dosya yolları gibi kritik verileri doğrudan kullanıcı girişlerinden almak yerine, beyaz liste veya diğer güvenlik kontrolleri ile geçerli dosya adlarını kontrol etmek daha güvenlidir.

  • Dosya Yollarının Sabitlenmesi: Dosya yollarını kullanıcı girişlerinden bağımsız olarak sabitlemek, istemcinin belirli bir dizin dışındaki dosyaları dahil etmesini engeller. Örneğin, dahil edilecek dosyaların tam yolunu belirleyebilirsiniz.

  • PHP Konfigürasyonu Ayarları: Güvenlik açıklarını önlemek için PHP'nin open_basedir ayarı gibi güvenlik önlemleri etkinleştirilebilir. Bu ayar, PHP'nin belirli bir dizin dışındaki dosyaları erişmesini engeller.

  • Dosya Erişim Kontrolleri: Dosyaların erişim izinlerini doğru şekilde ayarlamak, yetkisiz erişimleri önler ve LFI saldırılarını sınırlar. İstemcinin erişmesine izin verilen dosyaların ve dizinlerin sadece gerekli izinlere sahip olduğundan emin olun.

hashtag
Örnek Bir Whitelist İle Korunma Kodu:

hashtag
Ek Kaynaklar:

LogoLFI, RFI Güvenlik Zafiyetleri Bağlamında PHP Stream Wrapper'larıInvicti (formerly Netsparker) - Web Uygulaması Güvenlik Tarayıcısıchevron-right
Logoeneskrkmz - OverviewGitHubchevron-right
Bu yazı M. Enes Korkmaz tarafından hazırlanmıştır.
PreviousIncident ResponseNextNoSQL Injection

Last updated