本地文件包含漏洞神器——LFI SUIT

LFI Suite是什麼?

作者：d35m0nd142 譯者：cnRay

LFI Suite 是一款全自動化工具，可以使用不同的攻擊方式去掃描並利用LFI（本地文件包含，下文同）漏洞，具體細節參見「特點」一節。

1.特點

• 適用於Windows, Linux 和 OS X
• 自動配置
• 自動更新
• 提供8種不同的本地文件包含攻擊模塊：
• /proc/self/environ
• php://filter
• php://input
• /proc/self/fd
• access log
• phpinfo
• data://
• expect://
• 提供第九個模式，叫Auto-Hack，它通過一次又一次的嘗試所有的攻擊來自動掃描並利用目標漏洞。（除非在一開始你沒有可提供的路徑列表，你可以在此項目目錄里找到一大一小的兩個版本目錄列表）。
• Tor 代理支持
• Windows,，Linux和OS X的反向shell

2.如何使用？

git clone https://github.com/D35m0nd142/LFISuite.git使用非常簡單，LFI Suite 具有易於使用的用戶界面；運行後它就會指導你。

反向 Shell

當你通過一個可利用的攻擊獲取到一個LFI shell後，你可以通過輸入「reverseshell」命令輕易地獲得一個反向shell。（顯然，你必須讓你的系統監聽反向連接，比如用「nc –lvp port」）。

依賴

• Python 2.7.x
• Python 額外模塊： termcolor, requests
• socks.py

以防缺少一些模塊，當你運行此腳本時，它會檢查你是否安裝了pip，如果沒有安裝，它會自動安裝，然後使用pip安裝缺少的模塊並下載需要的socks.py文件。

我嘗試過在不同的操作系統（Debian,Ubuntu,Fedora,Windows 10,OS X）上使用此腳本，完美運行！但是如果有一些奇怪的事發生和pip與其他模塊的自動化安裝失敗的話，請手動安裝缺少的模塊並重新運行此腳本。

? 重要：為了能讓此腳本自動化安裝缺少的模塊（還有pip），你必須在第一次的時候以root身份運行此腳本（或者至少擁有足夠的許可權）。

3.合作

LFI Suite 已經包含了許多功能，但是你可能也知道，還有大量其他潛在的攻擊仍然可以實現。如果你是一個Python程序員/滲透測試員，並且希望加入該項目以改進和擴展它，請通過<d35m0nd142@gmail.com>或者直接在這裡與我聯繫。

4.免責聲明

我對你造成的任何非法行為概不負責。這是為了滲透測試員用於道德目的而設計的。如果你打算複製，重新分發，請註明原作者版權。

5.演示視頻地址

YouTube：https://www.youtube.com/watch?v=6sY1Skx8MBc （自備梯子） 百度網盤：http://pan.baidu.com/s/1hrXvYJU 密碼：6l5a

關注我： https://twitter.com/d35m0nd142

aHR0cDovL3dlaXhpbi5xcS5jb20vci80emdxTWxERVlnMGRyUlJSOTIzeA== (二維碼自動識別)

微信掃一掃 關注公眾號