Khai Thác Lỗ Hổng Local File Inclusion trong PHP CTF

Trong thế giới bảo mật và CTF (Capture The Flag), Local File Inclusion (LFI) vẫn là một trong những lỗ hổng phổ biến và nguy hiểm trong các ứng dụng PHP. Vào tháng 12 năm 2025, kỹ thuật này tiếp tục được các đội CTF trên toàn cầu khai thác trong nhiều cuộc thi uy tín.

Hiểu về Local File Inclusion

Local File Inclusion xảy ra khi ứng dụng PHP không kiểm soát đúng các tham số đầu vào được sử dụng trong hàm include, require, hoặc các hàm tương tự. Điều này cho phép kẻ tấn công đọc các tệp nhạy cảm trên hệ thống, bao gồm tệp cấu hình, mã nguồn, và thậm chí là tệp hệ thống như /etc/passwd.

Ví dụ thực tế từ các CTF gần đây

Tại Barb'hack 2022, một thử thách PHP đã khai thác lỗ hổng LFI thông qua tham số p trong phương thức GET. Kẻ tấn công có thể lợi dụng điều này để đọc các tệp nhạy cảm trên máy chủ.

Một ví dụ khác từ hxp CTF 2021 với thử thách "includer's revenge" đã cho thấy cách khai thác LFI ngay cả khi có các biện pháp bảo vệ được áp dụng:

<?php  if (preg_match('/\.php$/i', $_GET['file'])) {      die('No PHP files allowed!');  }  include_once($_GET['file'] ?? 'index.php');  ?>

Phòng thủ và phát hiện lỗ hổng

Theo OWASP, việc kiểm tra LFI nên tập trung vào:

• Kiểm tra tất cả các tham số có thể ảnh hưởng đến việc include tệp
• Sử dụng các ký tự đặc biệt như ../ để thoát khỏi thư mục hiện tại
• Thử truy cập các tệp hệ thống phổ biến như /etc/passwd trên Linux

Xu hướng năm 2025

Năm 2025, các đội CTF đang phát triển các kỹ thuật khai thác LFI tinh vi hơn, kết hợp với các lỗ hổng khác như RCE (Remote Code Execution). Các giải pháp bảo vệ như chroot jail, sandbox PHP, và kiểm soát chặt chẽ các hàm include trở nên quan trọng hơn bao giờ hết.

PHPCTF #LocalFileInclusion #BảoMậtWeb #CTF2025 #PHPSecurity #LFIExploit

Không đọc được JSON hợp lệ.

Không đọc được JSON hợp lệ.