اسیب پذیری LFI و بهره برداری از ان

اسیب پذیری

اموزش اسکن اسیب پذیری LFD و راه های تست نفوذ از طریق این باگ با PentestCore nv در ادامه این اموزش هک و امنیت همراه باشید

آسیب پذیری LFI

همان طور که در اموزش باگ LFI گفته شد LFI یک اسیب پذیری در اپلیکیشن های تحت وب است 
که امکان خواندن فایل های مهم و حساس سرور را به نفوذگر میدهد که به صورت کلی قایل etc/passwd را با استفاده از این باگ میخوانند
اما در این اموزش میخواهیم نحوه اسکن این اسیب پذیری را با ابزار بسار ساده و کار امد اموزش دهیم
 

معرفی ابزار Liffy

Liffy ابزاری برای اسکن اسیب پذیری LFI است که به زبان پایتون نوشته شده است و در هر سیستم عالی قابل استفاده است
اما پیشنهاد میشود از همه ابزار هایی که معرفی میشود تا حد ممکن در لینوکس و مجازی ساز استفاده نمایید 
و توزیع لینوکس های مختلفی وجود دارند که برای تست نفوذ و امنیت ساخخته شده اند میتوانید اموزش سیستم عامل های هکر ها را مشاهده نمایید  
 

نحوه نصب و استفاده از ابزار Liffy برای اسکن اسیب پذیری

ابتدا لینک ابزار را از اخر امورزش بعد از ثبت نام و ورود در سایت دریافت نمایید
سپس دستور زیر را در ترمینال لینوکس خود برای دریافت ابزار وارد نمایید

git clone Link

سپس وارد پوشه دانلود شده با دستور Cd و نام پوشه شوید

cd liffy

حال با استفاده از پایتون Liffy را اجرا کنید 

python liffy.py

سویچ های راهنما را در خروجی مشاهده خواهید کرد  
میتوانید با استفاده از این سویچ ها سایت مورد نظر خود را اسکن نمایید و اسیب پذیری LFI را پیدا کنید 
برای مثال ّه دستور زیر توجه کنید

python liffy.py –url http://site.com/lfi-PentestCore.php?file= –filter

اسیب پذیری LFI و بهره برداری از ان
با استفاده از سویچ –url ورودی سایت اسیب پذیر را معرفی کرده ایم و با سویچ اخر –filter امکان خواندن فایل را خواهیم داشت
سویچ های مختلفی وجود دارند که بعضی از ان ها را معرفی میکنیم :

  •  expect , input , data : برای اجرای دستور 
  • filter : خواندن فایل ها
  • cookies : تغیر کوکی و سشن 
  • location : ادرس فایل ها 

نکته : همچنین میتوانید از این ابزار برای اسکن اسیب پذیری در قالب متاسپلویت استفاده نمایید و فایل msf.py را اجرا کنید
 

لینک ابزار



[ برای درافت فایل وارد شوید و یا ثبت نام کنید! ]

امیدواریم این اموزش مفید واقع شده باشد 
موفق باشید. اسیب پذیری
 

0/5 (0 نظر)

نیما حسینی هستم بنیان گذار تیم پن تست کور و مدرس دوره های امنیت شبکه و راه های مقابله با نفوذ ، در 7 سال گذشته متمرکز بر مباحث روز امنیت سایبری بوده ام و بعد از کسب دانش و تجربه های ارزشمند تصمیم بر به اشتراک گذاری نتیجه ان ها با دیگران گرفته ام.

مطالب مرتبط

۲ دیدگاه در “اسیب پذیری LFI و بهره برداری از ان”

  • ssd91 بهمن 19, 1397 پاسخ

    سلام چرا در لینک بالا در زمان اسکن یک سایت مثال زدید نام pentescore امده هست .

    • Nima Nani بهمن 20, 1397 پاسخ

      درود
      ما برای نمونه که دستور را چطور باید وارد کنید به این صورت نوشته ایم شما باید در ورودی وبسایت مورد نظر تست نمایید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

قوانین پن تست کور
دوره کالی لینوکس
نماد های اعتماد
نماد های اعتماد