امکانات انجمن
  • مهمانان محترم می توانند بدون عضویت در سایت در بخش پرسش و پاسخ به بحث و گفتگو پرداخته و در صورت وجود مشکل یا سوال در انجمنن مربوطه موضوع خود را مطرح کنند

moharram

iran rules jazbe modir
snapphost mahak

پست های پیشنهاد شده

آسیب پذیری LFI مخفف عبارت Local File Inclusion میباشد که یکی از آسیب پذیری های معروف جهت نفوذ به وب سایت ها می باشد که به نفوذگر اجازه اجرای دستورات بر روی سرور را میدهد آسیب پذیری Local File Inclusion یک آسیب پذیری خطرناک می باشد که در بسیاری از کامپوننت های جوملا که بر روی هسته نصب شده اند در چند سال اخیر توسط نفوذگران مختلف شناسایی شده است.

در این آموزش میخوایم به نحوه آشنایی با این آسیب پذیری بپردازیم که چگونه ایجاد میشود و چطور میتوان از این آسیب پذیری سو استفاده نمود برای درک اینکه چگونه آسیب پذیری های Local File Inclusion می تواند رخ دهد باید با توابع Include ,require() در زبان برنامه نویسی php آشنایی نسبتا کمی داشته باشید.

این آسیب پذیری بیشتر در سورس کد هایی دیده میشود که درخواست فراخوانی یک فایل را دارند به طور مثال با استفاده از توابع Include میتوان اقدام به خواند فایل ها نمود نفوذگر با استفاده از آسیب پذیری Local File Inclusion یک نوع دسترسی محلی را به دست می آورد که برای مشاهده ی فایل های مهم سرور مورد نظر استفاده قرار میگیرد.

مهم ترین و پرکاربد ترین روش استفاده از آسیب پذیری Local File Inclusion میتوان به خواندن فایل های مهم سیستمی و خواندن فایل کانفیگ config اشاره نمود.
 

پسند شده توسط eblis98 و P$YCH0S0C!@L

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

در اینجا باید اضافه کنم که علاوه بر تابع Include از توابع زیر نیز برای فراخوانی یک فایل در زبان PHP میتوان استفاده نمود که در صورت استفاده ممکن است سایت دارای این اسیب پذیری باشد.

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

روش استفاده از این آسیب پذیری را میتوان به بروت فورس یوزر های سرور و همچنین تبدیل باگ Local File Inclusion به آسیب پذیری Remote Command Execution اشاره نمود.

پسند شده توسط eblis98 و P$YCH0S0C!@L

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

یک سایت با آسیب پذیری LFI

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

پس از اجرای دستور ما توانستیم فایل passwd در سرور لینوکس رو بخونیم که یوزر های سرور رو بهمون نمایش داد
 

پسند شده توسط eblis98 و P$YCH0S0C!@L

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری