前回:やられアプリ BadTodo - 6 ディレクトリトラバーサル - demandosigno
ZAPの例のアドレスを入力してみます。
https://todo.example.jp/resize.php?path=http%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3DOWASP%2520ZAP&basename=elephant.png&size=64
外部のサービス(google検索)が実行されていることが分かります。
今回のアドレスはhttps://todo.example.jp/resize.php
であり前回のディレクトリトラバーサルと同じです。
https://todo.example.jp/resize.php?path=icons&basename=..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd
で /etc/passwd が閲覧できます。このようにファイルインクルード攻撃の影響としてWebサーバー内の非公開ファイルの漏洩が起こります。
ここまではディレクトリトラバーサルと同じですが、インクルード機能は外部から指定したスクリプトを読み込んで実行できます。
BadTodoには悪意のあるサイトの例として trap.example.org が用意されています。このサイトに置いてあるPHPファイル dump.php は下記ですが 、
これを todo.example.jp から読み込んでみます。
読み込めました。
次回:やられアプリ BadTodo - 8.1 OS コマンド・インジェクション(リモートコード実行。CVE-2012-1823) - demandosigno