Vulnerabilidad en la subida de imagenes

Iniciado por 50l3r, 1 Septiembre 2009, 02:38 AM

0 Miembros y 3 Visitantes están viendo este tema.

Jubjub

Entonces una whitelist con php y lo tienes todo solucionado, siempre que no tengas lfi, si suben shell en jpg no sera mas que una imagen con errores.
Jugando con Fósforoshacking con un tono diferente


.
porno

50l3r

^^ entonces marcho tranquilo jeje

lo que me falta es lo ams dificil, conseguir que la gente visite la pagina  :-[

Darioxhcx

Cita de: 50l3r en  6 Septiembre 2009, 02:18 AM
^^ entonces marcho tranquilo jeje

lo que me falta es lo ams dificil, conseguir que la gente visite la pagina  :-[
jajaja.. eso ya no se programa en php
jajajaja :P

50l3r

#23
 :rolleyes: ojala xD

porcierto,encontre unos addons muy buenos para firefox que analizan webs en busca de xss y sql inyections:


bueno no coloco el de sql inyection, no tengo db :/ xd aun

0x5d

Cita de: Jubjub en  4 Septiembre 2009, 19:03 PM
Pero señores, si es .jpg que coño van a ejecutar? :xD

Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse :D

No creas...
Si pones en la cabecera
GIF89 mas un code malicioso, puedes hacer algo...
Soler, creo que a tu code le hace falta verificar las cabeceras.

Saludos.
¡ SIGUEME EN TWITTER -> @JavierEsteban__ !

50l3r

antes si, ahora creo que noque ya tengo base de datos testee con esos dos addons y no tengo ni una sola vulnerabilidad, cuando la gente suele tenwer muchas ^^

Jubjub

Cita de: JaAViEr♂ en 12 Septiembre 2009, 11:31 AM
Cita de: Jubjub en  4 Septiembre 2009, 19:03 PM
Pero señores, si es .jpg que coño van a ejecutar? :xD

Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse :D


No creas...
Si pones en la cabecera
GIF89 mas un code malicioso, puedes hacer algo...
Soler, creo que a tu code le hace falta verificar las cabeceras.

Saludos.

SI filtras por extensiones y prohibes las .php, php5, php4 y demas, ya que el servidor se basa en ello para ejecutar codigo php o no, no puedes hacer nada, no?
Jugando con Fósforoshacking con un tono diferente


.
porno

50l3r

no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada

porcierto jub jub, el nick de debajo de tu imagen es por morodo?

braulio--

Cita de: 50l3r en 12 Septiembre 2009, 12:34 PM
no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada

porcierto jub jub, el nick de debajo de tu imagen es por morodo?
Yo pensé lo mismo :xD pero creo que morodo dice lady lady lai

50l3r