Salve sono GilderHack, in questa guida vi spieghero come molti siti siano vulnerabili alle LFI ovvero le local File Inclusion!
Incominciamo...
[dovete sapere un minimo di basi di php]
Prendiamo un avatar, e moddiamolo inserendoci dentro un codice php non molto grande come un modulo di upload
che vi scrivo molto velocemente
[per unire del codice ad un immagine vi sono programmi appositi, come edjpgcom ... che trovate in poki minuti su google..]
troviamo il nostro sito buggato
bug:
/index.php?pagina=home.php
ed andiamo nel forum (o nel guestbook o in un qualsiasi posto ove sia possibile uplodare un avatar)
[io spieghero questa tecnica facendo riferimento ad un forum... special modo un forum in phpbb]
andiamo nel nostro pannello di gestione accaunt, e innettiamo l'avatar grazie al modulo di upload sul sito .
Se siete intelligenti xD capite perche nel modulo di upload DEL SITO.
Possiamo notare che il nostro avatar con codice integrato non desta sospetti vedendolo.
copiamo l'url dell'immagine e
andiamo nella pag buggata:
sostituiamo HOME.PHP nell'url dell'immagine tojendo ovviamente dall'url l'eventuale
cartella/immag/avatar.jpg
e carichiamo la pag..
ora nn troveremo più il vostro bellissimo avatar, ma troveremo il codice che abbiamo unito.. in questo caso un upload ;) ... e indovinate che uplodiamo?
la nostra bella c99 o r57 che nn vi alleghero.. perkè ve la cercherete su google come fanno tutti i santi cristiani :P :P :P
una volta schiacciato il tasto "send" del modulo di upload, vi dirà pag non trovata.. ma nn vi preoccupate il modulo ha fatto il suo dovere.. quella pag che nn trovava serviva solo a stampare il nome del file che avete uplodato
.
la vostra shell si troverà nella cartella :
cartella/immag/shell.php
ovviamente quello è un esempio ... per cartella/immag/ intendo la stessa cartella ove si trovava l'avatar in precedenza...
Created By GilderHack root@gilderhack.com
GilderHack<---- sono io :P
Incominciamo...
[dovete sapere un minimo di basi di php]
Prendiamo un avatar, e moddiamolo inserendoci dentro un codice php non molto grande come un modulo di upload
che vi scrivo molto velocemente
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
[per unire del codice ad un immagine vi sono programmi appositi, come edjpgcom ... che trovate in poki minuti su google..]
troviamo il nostro sito buggato
bug:
/index.php?pagina=home.php
ed andiamo nel forum (o nel guestbook o in un qualsiasi posto ove sia possibile uplodare un avatar)
[io spieghero questa tecnica facendo riferimento ad un forum... special modo un forum in phpbb]
andiamo nel nostro pannello di gestione accaunt, e innettiamo l'avatar grazie al modulo di upload sul sito .
Se siete intelligenti xD capite perche nel modulo di upload DEL SITO.
Possiamo notare che il nostro avatar con codice integrato non desta sospetti vedendolo.
copiamo l'url dell'immagine e
andiamo nella pag buggata:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
sostituiamo HOME.PHP nell'url dell'immagine tojendo ovviamente dall'url l'eventuale
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
e lasciando solocartella/immag/avatar.jpg
e carichiamo la pag..
ora nn troveremo più il vostro bellissimo avatar, ma troveremo il codice che abbiamo unito.. in questo caso un upload ;) ... e indovinate che uplodiamo?
la nostra bella c99 o r57 che nn vi alleghero.. perkè ve la cercherete su google come fanno tutti i santi cristiani :P :P :P
una volta schiacciato il tasto "send" del modulo di upload, vi dirà pag non trovata.. ma nn vi preoccupate il modulo ha fatto il suo dovere.. quella pag che nn trovava serviva solo a stampare il nome del file che avete uplodato
la vostra shell si troverà nella cartella :
cartella/immag/shell.php
ovviamente quello è un esempio ... per cartella/immag/ intendo la stessa cartella ove si trovava l'avatar in precedenza...
Created By GilderHack root@gilderhack.com
GilderHack<---- sono io :P