Archive

LFI

해당 카테고리에 총 2개의 데이터가 존재합니다.
보안 기술/웹 & 시스템 해킹2026. 4. 8. 15:55

Local File Inclusion (LFI)

💡 LFI (Local File Inclusion) 심층 분석 및 웹 인프라 보안 실무 가이드 (Master Spec)📌 핵심 요약 (TL;DR)본질: 웹 애플리케이션(주로 PHP)이 외부 사용자 입력값을 검증 없이 include(), require() 등의 파일 참조 함수에 동적으로 전달할 때 발생하는 서버 측(Server-Side) 핵심 취약점임.위협 및 목적: 단순한 경로 탐색(Directory Traversal)을 넘어, 해커가 서버 내부의 민감한 파일(/etc/passwd, C:\Windows\win.ini, 설정 파일 소스코드)을 읽어내고, 최종적으로 로그 포이즈닝(Log Poisoning)이나 세션 오염을 통해 원격 코드 실행(RCE)으로 시스템 권한을 찬탈하는 브릿지 벡터로 악용됨.대응..
CTF/HTB2026. 4. 6. 17:16

Responder

1. Target Overview (머신 요약)Target Name: ResponderOS: WindowsDifficulty: Tier 1 (Starting Point)Vulnerability: Local/Remote File Inclusion (LFI/RFI), NTLM Hash Leakage (NTLM 해시 유출)Attack Vector: PHP 파라미터 조작 ➔ SMB 강제 인증 유발(Responder) ➔ 해시 크래킹(John the Ripper) ➔ WinRM 원격 접속2. 핵심 개념 총정리① 파일 포함 취약점 (LFI / RFI)LFI (Local File Inclusion)웹 애플리케이션이 사용자 입력값을 검증하지 않고 서버 내부의 로컬 파일을 로드(Include)할 때 발생하는 취약점 디렉..