sayko5454 ModeratöR
Aktiflik : Mesaj Sayısı : 117 Kayıt tarihi : 11/10/09 Points : 2147483647
| Konu: LFİ /// Çarş. Mart 17, 2010 6:30 pm | |
| Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım. THE_GODOOT
1 ) LFI nedir ? THE_GODOOT
Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.
2 ) Rfi Kadar etkilimidir ? THE_GODOOT
Rfi kadar etkili olamasada yeterlidir.
Kullanımını Anlatayım
THE_GODOOT <?php include ('data/$godoot/function.php'); ?>
burda gördünüz gibi rfi olarak düşünürsen godoot tanımlanmamış .
fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (godoot)kullanılarak dosya okunabilir yukarıdaki kodu godoot.php olarak kaydedin
Daha sonra
[Linkleri görebilmek için üye olun veya giriş yapın.]
dosyası okunabilir izin varsa okunur bu açıkla neler yapılır ?
etc/passwd , config okuruz ya da ftp alırız ...
LFI açığını Nasıl Kapatırız ? THE_GODOOT
<?php $godoot='sdwd' include ('data/$godoot/function.php'); ?> THE_GODOOT
bu kod sayesinde açık kapaır çünkü godoot'u burda tanımladık
[Linkleri görebilmek için üye olun veya giriş yapın.]
yaptığınız an LFI çalışmaz
Örnek LFI :
THE_GODOOT
[Linkleri görebilmek için üye olun veya giriş yapın.] 2F..%2F..%2F..%2Fetc%2Fpasswd
Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir. | |
|