lunes, 4 de mayo de 2009

Metadatos IV: File inclusion & malicious metadata

Saludos!!


Todo el mundo sabe que si una web tiene una vulnerabilidad LFI, y además cuenta con un uploader de imágenes (avatares, firmas, cosas así por ejemplo) o cualquier otro fichero, estás más que jodido. Normalmente simplemente tus shell.php la renombrabas a .jpeg, subías y fin, pero, hace ya un par de años hubo una persona que pensó más allá y se le ocurrió la magnífica idea de incluir la shell dentro de una imagen ya existente sin que esta se vea modificada, de tal forma que tú pudieras visualizar la imagen y así pasar desapercibida la shell. Esta idea la publicó CodeBreak en un paper llamado "Local JPEG Inclusion".


Ahora bien, y si ampliamos el espectro de extensiones al subir, es decir, no solo modificar de forma inapreciable una imagen, sino hacerlo con cualquier extensión que nos permita modificar sus metadatos. Esta es una gran idea: inyectar PHP en los metadatos.


Bueno, la verdad es que no tengo tiempo de probar algunas herramientas para hacer esto, por lo que os encomiendo a vosotros que probeis herramientas como exiftool y me digais los resultados.

PD: ya sé que es un post muy corto, pero no ando con tiempo de explayarme más.
5 0verl0ad Labs: Metadatos IV: File inclusion & malicious metadata Saludos!! Todo el mundo sabe que si una web tiene una vulnerabilidad LFI, y además cuenta con un uploader de imágenes (avatares, firmas, c...

1 comentario:

SH4V dijo...

He estado probando hace poco. He probado primero con el comando type codigophp.txt >> texto.doc y daba error. Posteriormente lo he intentado con un editor hexadecimal y leerlo lo leía, pero daba error también. El error que lo provoca un fragmento de string:

unexpected T_STRING

Es cuestión de buscar ese trozo y eliminarlo. Pero claro, ponte a buscar (todo es probar). He probado a meter el código al principio y eliminar todo lo que venía después y como era de esperar, sí que ha funcionado.

Un saludo!

< >