BYfezahack Administrator
Mesaj Sayısı : 53 Yaş : 33 Nerden : ToPRaKTaN Lakap : BYfezahack
| Konu: LFI Local File İnclude Çarş. Şub. 11, 2009 11:36 am | |
| Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
1 ) LFI nedir ?
Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.
2 ) Rfi Kadar etkilimidir ?
Rfi kadar etkili olamasada yeterlidir.
Kullanımını Anlatayım
<?php include ('data/$miller/function.php'); ?>
burda gördünüz gibi rfi olarak düşünürsen miller tanımlanmamış .
fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (miller)kullanılarak dosya okunabilir yukarıdaki kodu robot.php olarak kaydedin
Daha sonra
http://www.herhangisite.com/robot.php?
dosyası okunabilir izin varsa okunur bu açıkla neler yapılır ?
etc/passwd , config okuruz ya da ftp alırız ...
LFI açığını Nasıl Kapatırız ?
<?php $miller='sdwd' include ('data/$miller/function.php'); ?>
bu kod sayesinde açık kapaır çünkü miller 'i burda tanımladık
http://www.herhangisite.com/robot.php?
yaptığınız an LFI çalışmaz
Örnek LFI :
http://charlotte-wilson.net/view.php?list=..%2F..%2F..%20%2F..%2F..%2F..%2F..% 2F..%2F..%2F..%2Fetc%2Fpasswd
Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir. | |
|