Vulnerabilidad en la subida de imagenes

Iniciado por 50l3r, 1 Septiembre 2009, 02:38 AM

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3 4
Acciones del Usuario

Jubjub

#20
5 Septiembre 2009, 21:24 PM
Entonces una whitelist con php y lo tienes todo solucionado, siempre que no tengas lfi, si suben shell en jpg no sera mas que una imagen con errores.
Jugando con Fósforoshacking con un tono diferente


.
porno

50l3r

#21
6 Septiembre 2009, 02:18 AM
^^ entonces marcho tranquilo jeje

lo que me falta es lo ams dificil, conseguir que la gente visite la pagina  :-[

Darioxhcx

#22
6 Septiembre 2009, 20:29 PM
Cita de: 50l3r en  6 Septiembre 2009, 02:18 AM
^^ entonces marcho tranquilo jeje

lo que me falta es lo ams dificil, conseguir que la gente visite la pagina  :-[
jajaja.. eso ya no se programa en php
jajajaja :P

50l3r

#23
6 Septiembre 2009, 21:04 PM Ultima modificación: 7 Septiembre 2009, 02:00 AM por 50l3r
 :rolleyes: ojala xD

porcierto,encontre unos addons muy buenos para firefox que analizan webs en busca de xss y sql inyections:


bueno no coloco el de sql inyection, no tengo db :/ xd aun

0x5d

#24
12 Septiembre 2009, 11:31 AM
Cita de: Jubjub en  4 Septiembre 2009, 19:03 PM
Pero señores, si es .jpg que coño van a ejecutar? :xD

Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse :D

No creas...
Si pones en la cabecera
GIF89 mas un code malicioso, puedes hacer algo...
Soler, creo que a tu code le hace falta verificar las cabeceras.

Saludos.
¡ SIGUEME EN TWITTER -> @JavierEsteban__ !

50l3r

#25
12 Septiembre 2009, 12:15 PM
antes si, ahora creo que noque ya tengo base de datos testee con esos dos addons y no tengo ni una sola vulnerabilidad, cuando la gente suele tenwer muchas ^^

Jubjub

#26
12 Septiembre 2009, 12:20 PM
Cita de: JaAViEr♂ en 12 Septiembre 2009, 11:31 AM
Cita de: Jubjub en  4 Septiembre 2009, 19:03 PM
Pero señores, si es .jpg que coño van a ejecutar? :xD

Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse :D


No creas...
Si pones en la cabecera
GIF89 mas un code malicioso, puedes hacer algo...
Soler, creo que a tu code le hace falta verificar las cabeceras.

Saludos.

SI filtras por extensiones y prohibes las .php, php5, php4 y demas, ya que el servidor se basa en ello para ejecutar codigo php o no, no puedes hacer nada, no?
Jugando con Fósforoshacking con un tono diferente


.
porno

50l3r

#27
12 Septiembre 2009, 12:34 PM
no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada

porcierto jub jub, el nick de debajo de tu imagen es por morodo?

braulio--

#28
12 Septiembre 2009, 17:33 PM
Cita de: 50l3r en 12 Septiembre 2009, 12:34 PM
no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada

porcierto jub jub, el nick de debajo de tu imagen es por morodo?
Yo pensé lo mismo :xD pero creo que morodo dice lady lady lai

50l3r

#29
12 Septiembre 2009, 17:40 PM
ya, se me hacia raro jajaja
Imprimir
Ir Arriba Páginas 1 2 3 4
Acciones del Usuario