LFI(Local File Include)ってpoisoningでバックドア開かれるよねって話

TL;DR

  • ローカルファイルのファイル名推測って必要なの?
  • とりあえずApache + PHP(もうこの組み合わせ自体古い気もするけど)のテンプレで考えてみよう
  • そうだ!我々には/var/log/apache2/access.log or error.logがあるじゃないか!

Reference

とりあえず一番古そうな記事

Notes

  • ログファイルに載ればなんでもいいのでメソッド部分、URL、User-Agentとかのヘッダ部分にとかとか放り込めめば勝ち
  • WAF/IPSがいたらさすがに引っ掛けてくれると思いたい
  • Node.jsとかGoとかのモダンなやつは自分でハンドリングした上でログ吐き出すはずだからファイル名の推測は必要だけど、トラバーサルでファイル名取得できないかなーと思ってみたり