PHP filesystem attack vector

Qualche giorno fa il team USH ha rilasciato una advisory, a firma di Francesco ‘ascii’ Ongaro e Giovanni ‘evilaliv3′ Pellerano, a riguardo di alcune vulnerabilit√† riscontrate in alcune funzioni di PHP per l’accesso al filesystem; nello specifico alle funzioni della famiglia include e require.
I problemi identificati portano un attaccante a poter gestire un Local File Inclusion in piena autonomia, bypassando filtri, prefissi o suffissi hardcoded all’interno della chiamata alla funzione.

Nel dettaglio si tratta di due scoperte distinte, che se usate in accoppiata permettono di fare truncation del path in modo da aprire un file arbitrario presente sul filesystem del sistema o all’interno della open_basedir se configurata.

Consiglio di leggere l’advisory completa e magari il thread dedicato su Full Disclosure.

 

Crittoanalisi alternativa

Security

Se gli attacchi di crittoanalisi matematica non funzionano, rimane sempre il metodo Rubber-hose.