Duda/Problema conRFI

[IWKY]

Hola, haber como lo explico.... He encontrado una web que creo que es posible hacerle un RFI, y yo para practicar me he echo un pequeño script, ahora bien, a la variable afectada le paso la dirección para que use mi script y al recargar la pagina me muestra el código de mi script, osea que el archivo lo lee bien, pero el php no lo lee como php, así que no lo ejecuta ¿que puedo hacer? porque si lo renombro a la extensión .php lo ejecutara en mi server.

Un saludo

[Azielito]

por que entonces no es RFI ñ_ñ  ha de ser un iframe

[IWKY]

Entonces eso es así siempre, ¿cuando a una variable le pasas una dirección con un archivo y muestra su contenido es un iframe y no un rfi?
cuando me muestra el contenido del archivo es porque la extensión es .txt si se la cambio a .png, .jpg, ... me dice que no puede mostrar la imagen, osea que si que sera un iframe. Ahora bien los ataques a iframe tiene algún nombre especifico? así podre buscar info sobre como seguir con la practica.

Un saludo.

[Azielito]

mejor busca info de como trabajan los archivos vulnerables a RFI, un iframe pasandole la url por GET tal vez sea vulnerable a XSS solo tal vez

Recomiendo estudiar un poco de PHP antes de seguir x) y tambien HTML que si ya sabes solo bastaria mirar el codigo fuente para saber si es vulnerable a RFI o es un iframe

[IWKY]

Hola de nuevo, tienes toda la razón del mundo, mirando el código fuente se ve que es un iframe, además he comprobado que es explotable para xss aunque no es un xss persistente, bien, de html ando bien no soy un gurú pero me defiendo, en cambio en php si que me cuesta un poco más,  que recomiendas leer sobre rfi o directamente sobre php y después ya centrarse con rfi?

Un saludo.

[Azielito]

busca como hacer "webs modulares" con php haciendo uso de la funcion "include" y haste tu aplicacion vulnerable para que practiques y entendas como funciona y el por que del bug

[IWKY]

Gracias, ahora empezare ha buscar y ha documentarme de todo lo que pueda.

Un saludo