BYfezahack
Administrator
Mesaj Sayısı : 53
Yaş : 33
Nerden : ToPRaKTaN
Lakap : BYfezahack
 |  Konu: LFI Local File İnclude  Çarş. Şub. 11, 2009 11:36 am | |
| Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
1 ) LFI nedir ?
Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.
2 ) Rfi Kadar etkilimidir ?
Rfi kadar etkili olamasada yeterlidir.
Kullanımını Anlatayım
<?php
include ('data/$miller/function.php');
?>
burda gördünüz gibi rfi olarak düşünürsen miller
tanımlanmamış .
fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (miller)kullanılarak dosya okunabilir yukarıdaki kodu robot.php olarak kaydedin
Daha sonra
http://www.herhangisite.com/robot.php?
dosyası okunabilir izin varsa okunur bu
açıkla neler yapılır ?
etc/passwd , config okuruz ya da ftp alırız ...
LFI açığını Nasıl Kapatırız ?
<?php
$miller='sdwd'
include ('data/$miller/function.php');
?>
bu kod sayesinde açık kapaır çünkü miller 'i burda tanımladık
http://www.herhangisite.com/robot.php?
yaptığınız an LFI çalışmaz
Örnek LFI :
http://charlotte-wilson.net/view.php?list=..%2F..%2F..%20%2F..%2F..%2F..%2F..% 2F..%2F..%2F..%2Fetc%2Fpasswd
Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir. | |
|
