LFİ ///

Konu: LFİ /// Çarş. Mart 17, 2010 6:30 pm

Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
THE_GODOOT

1 ) LFI nedir ?
THE_GODOOT

Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.

2 ) Rfi Kadar etkilimidir ?
THE_GODOOT

Rfi kadar etkili olamasada yeterlidir.

Kullanımını Anlatayım

THE_GODOOT
<?php
include ('data/$godoot/function.php');
?>

burda gördünüz gibi rfi olarak düşünürsen godoot
tanımlanmamış .

fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (godoot)kullanılarak dosya okunabilir yukarıdaki kodu godoot.php olarak kaydedin

Daha sonra

[Linkleri görebilmek için üye olun veya giriş yapın.]

dosyası okunabilir izin varsa okunur bu
açıkla neler yapılır ?

etc/passwd , config okuruz ya da ftp alırız ...

LFI açığını Nasıl Kapatırız ?
THE_GODOOT

<?php
$godoot='sdwd'
include ('data/$godoot/function.php');
?>
THE_GODOOT

bu kod sayesinde açık kapaır çünkü godoot'u burda tanımladık

[Linkleri görebilmek için üye olun veya giriş yapın.]

yaptığınız an LFI çalışmaz

Örnek LFI :

THE_GODOOT

[Linkleri görebilmek için üye olun veya giriş yapın.] 2F..%2F..%2F..%2Fetc%2Fpasswd

Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir.