|
للمبتدئين مثلي أتحدث عن تغرة Remote File Include السلام عليكم ورحمة الله تعالي وبركاته حديثي عن ثغرة ال Remote File Include هي عبارة عن خطاء برمجي و يعمل هذا التنوع من إدراج ملف خارجي بشكل غير شرعي. يقوم الهكر من خلال هذه الثغره بإدراج ملف PHP SHELL يستطيع من خلاله التلاعب بالموقع و قد يصل التلاعب الي الخادم كاملاً. كيف يتم الإصابه بهذه الثغره ؟؟ :----- يتم الإصابه عن طريق الدوال التالية :- ( Require_once و Require و Include_once و Include ) متبوعة بي $ نأخذ مثلاً كود مصاب . <?php $ghost = $_GET['hacked']; include ($ghost); ?> بالسطر الاول تم وضع متغير بإسم ghost و إعطائه القيمه التاليه hacked و في السطر الثاني من الكود تم إستخدام الداله include و إستخدام علامة $ قبل اسم المتغير ghost كيف يمكن تامين البرنامج من هذا النوع ؟ بيكون الترقيع او التعديل عن تغير الاسم المتغير المصاب ل ( ./ ) يعني ترقيع الكود السابق :--- <?php $ghost = $_GET['hacked']; $ghost = “./”; include ($ghost); ?> مع استبدال ghost بإسم المتغير الملحق بال$ أرجو انا ينال إعجباكم و تقيمكم |
كفو يامبدع |
استازي المبجل المخدرم شهادة اعتز بيها و افتخر |
تسلم يا مبدع لكن لسه انا مثلك مبتدي ^_^ |
بما انى مبتدا على اختراق المواقع مافهمت شئ |
اقتباس:
مشكور ع المرور . و انصحك بالدورة دي http://www.vbspiders.com/vb/t32284.html |
merciiiiiiiiii |
يعطيك العافيه يا غلا انت بالشرح استخدمت xss + rfi وهذا يخليك تستغل الثغره بطريقتين xss و rfi بس دا ابسط كول للانكلود include($vbspider) وهو الداله تقدر تغيرهها مثل ما بدك لكن الحلو اصدارات php 4 فقط الي صار يشتغل عليها الانكود البسيط اما اصدراات 5 ما يشتغل عليها الا الي انت شرحته فوق (اقبل تعليقي واحى تقيم ) |
كلاااااااااااشنكوف دائماً انت مُبـدع يا غالي :coool::wink2: بجد إلك وحشه .. يسلموووو ع المرور ^_^ |
مشكور |
بارك الله فيك |
| الساعة الآن 06:39 PM |
[ vBspiders.Com Network ]