Local File Inclusion (LFI) o, en español, Inclusión local de archivos.

by | Jul 24, 2018 | Blog

 Local File Inclusion (LFI) o, en español, Inclusión local de archivos.

Es cuando por un error de programación puedes acceder/modificar/ejecutar archivos que no deberías, el ejemplo común es passwd

por ejemplo en aragog puedes llamar /etc/passwd

Hay una lista muy buena en un programa que se llama LFISuite que hace eso atuomaticamente: https://github.com/D35m0nd142/LFISuite

https://github.com/D35m0nd142/LFISuite/blob/master/pathtotest.txt

o

https://github.com/D35m0nd142/LFISuite/blob/master/pathtotest_huge.txt

Hay dos formas de hacerlo,

  1. Burp pero esta limitado asumiendo que no pagas la version pro https://youtu.be/NFdi-2tgvxY min 14
    1. Lograr en repeater que te conteste algo
    2. Lo mandas a intruder
    3. Seleccionas entre $$ las variables
    4. Subes la lista de LFI
    5. Y acomodas por tamaño de respuesta y en la pestaña de response puedes ver lo que se va generando.

https://digi.ninja/blog/when_all_you_can_do_is_read.php