๑۩۞۩๑ سلطان وبلاگ هك در ايران ๑۩۞۩๑

سلام دوستان عزیز . بعد از آموزش دستورات SQL Injection و RFI امروز قصد دارم آموزش كامل متود LFI به شما نشون بدم .

در این مقاله فقط توضیح کوتاهی در باره ی باگ LFI و چگونگی به وجود آوردن آن داده میشه و هدف از این مقاله آموزش استفاده از حفره ی امنیتی هستش !!!!

LFI چیه ؟ يعني Local File Inclusion یک نوع حفره ی امنیتی است که با سهل انگاری برنامه نویس به وجود میاد و به نفوذگر این امکان رو میده که بتونه فایل های سیستمی سايت مذكور رو مشاهده کنيد !

باگ LFI چگونه به وجود میاد ؟ باگ LFI با استفاده کردن نادرست برنامه نویس از توابع زير به وجود مياد .

کد:

include()

include_once()

require()

require_once()

fopen()

با LFI چه کار هایی میشه کرد؟ با استفاده از باگ Lfi کار های زیادی میشه انجام داد از جمله

خواندن فایل های مهم مثل :

etc/passwd

/etc/shadow

/etc/group

/etc/security/passwd

/etc/security/user

/etc/security/environ

/etc/security/limits

و خواندن كانفيگ سايت ....

حالا ما با دستورات زير قادريم شل آپلود کنیم یا BackConnect بگیری.

در سرور های ویندوز و لینوکس دستورات متفاوت ولی برای هر یکی مثال هایی میزنم . با استفاده از دستور Wget در لینوکس و Tftp در ویندوز می تونیم فایل مورد نظرمون رو به سرور انتقال بدیم.

بزودی هم فیلم آموزشی در این مورد قرار خواهم گذاشت .

منبع با كمي ويرايش www.qn2.org