Her Gün 1 Tool: FIMAP

[Reksy]

Merhaba, ben Reksy

Bugün, Kali Linux üzerinde kullanılan güçlü araçlardan biri olan Fimap'ı detaylı bir şekilde inceleyeceğiz. Fimap, web uygulamalarında File Inclusion (Dosya Dahil Etme) zafiyetlerini test etmek için kullanılan bir araçtır. Bu açıklama, Fimap’ın nasıl çalıştığını, nasıl kullanıldığını ve daha fazla detayını kapsamlı bir şekilde ele alacaktır.​

---

Fimap Nedir?​

​

​

Fimap, web uygulamalarındaki dosya dahil etme (File Inclusion) zafiyetlerini tespit etmek amacıyla tasarlanmış bir güvenlik test aracıdır. File Inclusion zafiyetleri, saldırganların sunucu üzerindeki dosyaları okumalarına veya kötü niyetli kod çalıştırmalarına neden olabilecek açıkları ifade eder. Bu zafiyetler genellikle kullanıcı girdilerinin dosya yolları ile doğrudan ilişkili olduğu durumlarda ortaya çıkar.

File Inclusion Zafiyetleri şunları içerir:

1. Local File Inclusion (LFI): Saldırganın sunucudaki yerel dosyalara erişmesine olanak tanır.
2. Remote File Inclusion (RFI): Saldırganın uzaktaki dosyalara erişmesini sağlar ve bu dosyaların sunucu üzerinde çalıştırılmasına izin verir.

Fimap, bu zafiyetleri test etmek için çeşitli yöntemler ve payload'lar kullanarak uygulama güvenliğini değerlendirir.

---

Fimap’ın Özellikleri​

​

​

1. Gelişmiş Dosya Dahil Etme Testleri: Fimap, dosya dahil etme zafiyetlerini tespit etmek için geniş bir payload yelpazesi kullanır. Bu payload'lar, hem yerel hem de uzak dosya dahil etme senaryolarını kapsar. Bu sayede, farklı türdeki zafiyetleri etkili bir şekilde test edebilirsiniz.
2. Yüksek Düzeyde Özelleştirme: Fimap, test etmek istediğiniz dosya yollarını ve zafiyet senaryolarını özelleştirmenizi sağlar. Bu, belirli bir uygulama veya web sayfası için özelleştirilmiş taramalar yapmanıza olanak tanır.
   
   
3. Detaylı Raporlama: Tarama sonuçları, ayrıntılı bir şekilde raporlanır. Bu raporlar, tespit edilen zafiyetlerin detayları, etkilenmiş dosyalar ve düzeltme önerilerini içerir. Bu sayede, güvenlik açıklarını analiz edebilir ve gerekli önlemleri alabilirsiniz.
   
   
4. Fuzzing Teknikleri: Fimap, fuzzing tekniklerini kullanarak dosya dahil etme zafiyetlerini keşfeder. Fuzzing, yazılımın çeşitli girişlerle test edilmesi yöntemidir. Bu sayede, beklenmeyen veya hatalı davranışlar ortaya çıkabilir ve bu da zafiyetlerin tespit edilmesine yardımcı olur.
   
   
5. URL ve Dosya Patikaları ile Entegrasyon: Fimap, URL parametreleri ve dosya patikaları üzerinde çalışabilir. Bu, özellikle dinamik URL'ler ve parametrelerle yapılan testlerde etkili bir yöntemdir.

---

Fimap Kurulumu​

​

​

Fimap'ı Kali Linux'ta kurmak için aşağıdaki adımları takip edebilirsiniz:

1. Fimap’ı Git ile İndirme: Fimap, GitHub üzerinde barındırılmaktadır. Terminalde şu komutları kullanarak Fimap'ı klonlayabilirsiniz:
   
   

   git clone https://github.com/evait-security/fimap.git
   cd fimap

   
   
2. Gerekli Python Kütüphanelerini Yükleme: Fimap, bazı Python kütüphanelerine ihtiyaç duyar. Bu kütüphaneleri requirements.txt dosyasından yüklemek için şu komutu kullanabilirsiniz:
   
   

   pip install -r requirements.txt

   
   
3. Fimap’ı Çalıştırma: Fimap’ı çalıştırmak için temel komut şu şekildedir:
   
   

   python fimap.py -u http://hedefsite.com/page.php?id=1

   
   Burada -u seçeneği ile test etmek istediğiniz URL’yi belirtirsiniz.

---

Fimap Kullanımı​

​

​

1. Basit Tarama


Fimap'ın temel kullanımında, yalnızca URL'yi belirterek basit bir tarama yapabilirsiniz. Bu, belirli bir sayfanın dosya dahil etme zafiyetlerini test eder:

python fimap.py -u http://hedefsite.com/page.php?id=1

Bu komut, belirtilen URL üzerinde temel dosya dahil etme açıklarını test eder ve potansiyel zafiyetleri listeler.

2. Özel Dosya Yolları ile Test​

Belirli dosya yollarını test etmek isterseniz, -p seçeneğini kullanarak bu dosyaları belirtebilirsiniz:

python fimap.py -u http://hedefsite.com/page.php?id=1 -p /etc/passwd,/etc/hosts

Bu komut, belirtilen dosya yollarını test ederek, bunların erişilip erişilemediğini kontrol eder.

3. Brute-Force Yöntemi ile Tarama​

Fimap, brute-force yöntemiyle dosya yollarını test edebilir. Bu, çeşitli dosya yollarını otomatik olarak deneyerek zafiyetleri keşfetmenizi sağlar:

python fimap.py -u http://hedefsite.com/page.php?id=1 --brute

Bu yöntem, çeşitli tahminlerle dosya yollarını deneme yoluyla potansiyel zafiyetleri bulur.

4. Çıktı ve Raporlama​

Tarama sonuçlarını bir dosyaya kaydedebilirsiniz. Bu, tarama raporlarını daha sonra incelemek için faydalıdır:

python fimap.py -u http://hedefsite.com/page.php?id=1 -o results.txt

Bu komut, tarama sonuçlarını results.txt dosyasına kaydeder.

---

Fimap’ın Sağladığı Bilgiler ve Raporlar​

​

​

1. Bulunan Zafiyetler


Fimap, tarama sırasında tespit ettiği dosya dahil etme zafiyetlerini listeler. Bu, belirli URL parametrelerinin veya dosya yollarının ne tür riskler taşıdığını anlamanıza yardımcı olur.


2. Dosya Patikaları


Test edilen dosya yollarının bir listesi sağlanır. Bu liste, hangi dosyaların erişilmeye çalışıldığını ve hangi dosyaların etkilenmiş olduğunu gösterir.


3. Önerilen Düzeltmeler


Her bir zafiyet için önerilen düzeltme adımları sunulur. Bu, zafiyeti gidermek için hangi güvenlik önlemlerinin alınması gerektiğini belirtir.

---

Uygulama Senaryoları​

​

​

1. Web Uygulama Testleri


Fimap, web uygulamalarında dosya dahil etme zafiyetlerini test etmek için kullanılır. Özellikle, kullanıcı tarafından sağlanan girdilerin dosya yollarıyla işlendiği durumlarda oldukça etkili bir araçtır. Örneğin, bir kullanıcı giriş formu veya URL parametreleri üzerinden dosya yolları sağlanabiliyorsa, bu zafiyetleri test edebilirsiniz.


2. Sızma Testleri


Sızma testleri sırasında, Fimap kullanarak web uygulamalarındaki dosya dahil etme açıklarını tespit edebilirsiniz. Sızma testleri, sistemlerinizi zafiyetlere karşı test etmenizi sağlar ve bu tür zafiyetlerin ne kadar ciddi olabileceğini belirler.


3. Güvenlik Analizleri


Güvenlik analizi ve denetimleri sırasında, Fimap kullanarak sistemlerinizi detaylı bir şekilde inceleyebilir ve potansiyel güvenlik açıklarını belirleyebilirsiniz. Bu, güvenlik açıklarının giderilmesi için gerekli adımları belirlemenize yardımcı olur.

---

​

Sonuç​

​

​

Fimap, web uygulamalarındaki file inclusion zafiyetlerini test etmek için güçlü ve özelleştirilebilir bir araçtır. Detaylı tarama seçenekleri, özelleştirilebilir payload'lar ve kapsamlı raporlama özellikleri ile güvenlik testleri ve analizleri sırasında önemli bir rol oynar. Fimap’ı kullanarak, web uygulamalarında potansiyel zafiyetleri belirleyebilir ve sistemlerinizi güvence altına alabilirsiniz.

Bir sonraki gün, başka bir güvenlik aracını keşfetmek üzere tekrar görüşmek dileğiyle!

Github Linki :
GitHub - kurobeats/fimap: fimap is a little python tool which can find, prepare, audit, exploit and even google automatically for local and remote file inclusion bugs in webapps.

 

[sametghack]

Elinize saglik

 

[Reksy]

Elinize saglik

sağolun hocam

 

[Will Graham]

aracı github hesabından silmişler sanırım

 

[drjacob]

Eline sağlık.

 

[ByTRASKER]

Gayet başarılı bir tools
Ama verdiğin link kapanmış bir dosyayın nasıl anlatımını çektin anlayamadım

 

[Reksy]

Ama verdiğin link kapanmış bir dosyayın nasıl anlatımını çektin anlayamadım

Hocam Önceden Hazırladığım bir yazıydı ama github linkinde vardı normalde ama çekmişler anlayamadım