¿Como crear la vulnerabilidad RFI Remote file inclucion?help!!

Iniciado por olakease123, 12 Marzo 2014, 20:38 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario

olakease123

12 Marzo 2014, 20:38 PM
Hola buenos dias,he estado,leyendo sobre esta vulnerabilidad que ya he explotado varias veces en entornos de prueba

segun tengo etendido el codigo por decirlo malicioso es este


<?php

   $file = $_GET['page'];

?>


Asi que me dio por crear un index.php e introducir el codigo,lo ejecute con xampp y me salta un error,alguien podria documentarme de como crear tal vulnerabilidad?o un link o algo porfavor,conozco muchos entornos de pruebas,ya sea web for pentester,owasp multillidae,dwva, en fin,solo quiero saber como poder crearlo,gracias

el error es este


olakease123

#2
15 Marzo 2014, 00:56 AM
hay no explica como crearla,igual gracias

dRak0

#3
15 Marzo 2014, 01:03 AM Ultima modificación: 15 Marzo 2014, 01:08 AM por Lord Pei

engel lex

#4
15 Marzo 2014, 01:32 AM
es que lfi es la versión china (lemote file inclusion) XD

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

.:UND3R:.

#5
15 Marzo 2014, 02:40 AM
Cita de: engelx en 15 Marzo 2014, 01:32 AM
es que lfi es la versión china (lemote file inclusion) XD



wuajajajajajaj xD es un clon del RFI jaja

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

dantemc

#7
18 Marzo 2014, 21:35 PM
Cita de: Lord Pei en 15 Marzo 2014, 01:03 AM
dantemc , no es lo mismo RFI que LFI.

http://es.wikipedia.org/wiki/Remote_File_Inclusion

http://wiki.elhacker.net/bugs-y-exploits/nivel-web/rfi

...

PD:Esto va en Nivel Web.


jaaja sí, mi culpa.

mira este
http://www.breakthesecurity.com/2011/11/remote-file-inclusion-vulnerability.html

--------------------
  <?php
        include($_GET['filename']);
   ?>
-------------------
8-D

olakease123

#8
24 Marzo 2014, 04:23 AM
Lo he vuelto a intentar y nada al poner otra web ejemplo

localhost/index.php?filename=http://www.google.es?? nada se me queda en blanco aunque admite la url,*****..... no se si sera una restriccion de xampp o que pedo

dantemc1

#9
26 Marzo 2014, 20:55 PM Ultima modificación: 26 Marzo 2014, 21:13 PM por dantemc1
revisaste en el php.ini  que esté habilitado allow_url_include ?

http://2.bp.blogspot.com/-qwvgMzitZD8/UrErOPPwgOI/AAAAAAAAKiA/L7A5fexAw68/s640/remote-file-inclusion-web-application-vulnerability-hack.jpg

Acabo de replicarlo en mi server local y me funciona correctamente:




ten en cuenta referenciar la url comenzando por el protocolo ( http://... )
Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario