Hello there, ('ω')ノ

 

PDFリンクからのLFIの簡単な説明→Professor the Hunterを。

 

脆弱性：

　LFI

 

記事：

　https://medium.com/@bughuntar/a-short-tell-of-lfi-from-pdf-link-professor-the-hunter-43a8be853e

 

今回は、「Redacted's Edge Network」に

ローカル ファイル インクルージョン「LFI」の脆弱性が見つかり。

知られているように、Local File Inclusion (LFI) の脆弱性を悪用した場合の影響は、

情報漏えいからシステムの完全な侵害までさまざまで。

含まれているコードが実行されない場合でも、報告されているセキュリティの

脆弱性の場合と同様に、攻撃者がシステムを侵害するのに十分な

価値のある情報を提供する可能性があって。

 

LFI の脆弱性はどのようにして入手したかというと

https://erecruitment.redacted.com でのセキュリティ テスト中に、

PDF ファイルのリンクを取得し。

 

　https://erecruitment.redacted.com/onlineapp/rocketpreepay.pdf 

 

次に、そのリンクで LFI バグを見つけようとしましたが、

間違ったリンクを入力するたびにリダイレクトされ、LFIのバグはないと思い。

しかし、正しいリンクを入力すると、うまくいったことに驚いて。

 

LFI エクスプロイト：

　https://erecruitment.redacted.com/onlineapp/rocketpreepay.pdf../../../../../../../etc/passwd

 

LFIエクスプロイトPoC

 

Best regards, (^^ゞ