Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5
Local Fİle inclusion
#1
LFI açıklarına.Bu açıklar RFI dan daha az kullanılmaktadır ve etkiside RFI kadar yoktur.Biraz hakkında konuşalım LFI’nınexciting. Gene php coderların acemilikleri veya unutkanlıklarından meydana gelen açıklardır.LFI ile bir sitenin ftp’sindeki veya serverdaki dosyaları okuma iznimiz varsa okuyabiliriz.Her RFI açıgını bir LFI gibi kullanabiliriz ama ortada bir remote file include imkanımız varken local file include yapmamız saçma olurdu=) .

Bir örnekle açıklayalım;)
include (’files/$cw/config.php’) ;
?>

Bu kodu test3.php olarak save edip php destekleyen bir servera atıp çalıştırdıgımızda gene hata alacagızdır,bunun neden, config.php nin bulunamamasıdır.Bu bizim için fark etmez bizim amacımız farklı.

Bu koddaki $cw veriablı tanımlı değildir bu yüzden aşagıdaki bir komutla okuma izni olan tüm dosyaları okuyabiliriz.

http://www.mysite.com/test3.php?cw=../.....etc/passwd

ben üstte serverın /etc/passwd dosyasını okudum siz isterseniz başka dosyalarıda okuyabilirsiniz.

$cw : ‘conf’ ;
include (’files/$cw/config.php’) ;
?>


Bu dosyayı test4.php olarka save edip php destekleyen bir hostta attıgınızda LFI açıgının çalışmadıgını göreceksiniz.Bunun nedeni $cw : ‘conf’ ; bu kod ile tanımlı olmayan $cw veriablı tanımlanmıştır.Yani sepet doldurulmuştur.

Son zamanların en çok kullanılan ve hostingcilerin başına en çok bela açan açıkların başında gelmektedir.

File Inclusion açıklarından yararlanarak servera upload edilen php shell’lerden nasıl korunurum diye düşünüyorsanız işte cevabı….

/etc/php.ini dosyasını açın

disable_function satırını buluyoruz ve karşısına bunları ekliyoruz.

system,passthru,exec,popen,proc_close,proc_get_sta tus,proc_nice,proc_open,
allow_url_fopen,shell,shellexec,execute

service htttpd restart diyoruz

NOT: Bu fonksiyonlar disable yapıldıgında bazı scriptler serverınızda çalışmayacaktır ama bu açıklardan da korumuş olacaksınız.


( Not : CW-Den Alıntıdır. )


Beğenenler:

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  İsimtescil,Natro File Uploader ByPass Ayar 61 2,060 02-12-2016, Saat: 21:38
Son Yorum: Kolonkun
  WordPress File Download Vulnerability (Videolu Anlatım) Mr.F92 25 1,024 27-11-2016, Saat: 20:23
Son Yorum: AhmetGazi
  Remote File Inclusion RFI Hack Geniş Döküman + Resimli Videolu Anlatım KingSkrupellos 0 508 22-08-2014, Saat: 13:31
Son Yorum: KingSkrupellos
  Local File Inclusion LFI Hack Geniş Döküman + Videolu Anlatım KingSkrupellos 2 566 21-08-2014, Saat: 12:59
Son Yorum: GuugılAmca
  Local File Disclosure | DeFaCeR '[D3F@C4R] 2 411 05-07-2014, Saat: 14:01
Son Yorum: '[D3F@C4R]
Anahtar Kelimeler

Local Fİle inclusion indir, Local Fİle inclusion Videosu, Local Fİle inclusion Online izle, Local Fİle inclusion Bedava indir, Local Fİle inclusion Yükle, Local Fİle inclusion Hakkında, Local Fİle inclusion Nedir, Local Fİle inclusion Free indir, Local Fİle inclusion Oyunu, Local Fİle inclusion Download


1 Ziyaretçi