اسیب پذیری LFI و بهره برداری از ان

اسیب پذیری

اموزش اسکن اسیب پذیری LFD و راه های تست نفوذ از طریق این باگ با PentestCore nv در ادامه این اموزش هک و امنیت همراه باشید

آسیب پذیری LFI

همان طور که در اموزش باگ LFI گفته شد LFI یک اسیب پذیری در اپلیکیشن های تحت وب است 
که امکان خواندن فایل های مهم و حساس سرور را به نفوذگر میدهد که به صورت کلی قایل etc/passwd را با استفاده از این باگ میخوانند
اما در این اموزش میخواهیم نحوه اسکن این اسیب پذیری را با ابزار بسار ساده و کار امد اموزش دهیم
 

معرفی ابزار Liffy

Liffy ابزاری برای اسکن اسیب پذیری LFI است که به زبان پایتون نوشته شده است و در هر سیستم عالی قابل استفاده است
اما پیشنهاد میشود از همه ابزار هایی که معرفی میشود تا حد ممکن در لینوکس و مجازی ساز استفاده نمایید 
و توزیع لینوکس های مختلفی وجود دارند که برای تست نفوذ و امنیت ساخخته شده اند میتوانید اموزش سیستم عامل های هکر ها را مشاهده نمایید  
 

نحوه نصب و استفاده از ابزار Liffy برای اسکن اسیب پذیری

ابتدا لینک ابزار را از اخر امورزش بعد از ثبت نام و ورود در سایت دریافت نمایید
سپس دستور زیر را در ترمینال لینوکس خود برای دریافت ابزار وارد نمایید

git clone Link

سپس وارد پوشه دانلود شده با دستور Cd و نام پوشه شوید

cd liffy

حال با استفاده از پایتون Liffy را اجرا کنید 

python liffy.py

سویچ های راهنما را در خروجی مشاهده خواهید کرد  
میتوانید با استفاده از این سویچ ها سایت مورد نظر خود را اسکن نمایید و اسیب پذیری LFI را پیدا کنید 
برای مثال ّه دستور زیر توجه کنید

python liffy.py –url http://site.com/lfi-PentestCore.php?file= –filter

آسیب پذیری LFI
با استفاده از سویچ –url ورودی سایت اسیب پذیر را معرفی کرده ایم و با سویچ اخر –filter امکان خواندن فایل را خواهیم داشت
سویچ های مختلفی وجود دارند که بعضی از ان ها را معرفی میکنیم :

  •  expect , input , data : برای اجرای دستور 
  • filter : خواندن فایل ها
  • cookies : تغیر کوکی و سشن 
  • location : ادرس فایل ها 
  اکسپلویت 0day چیست ؟ + اکسپلویت نویسی

نکته : همچنین میتوانید از این ابزار برای اسکن اسیب پذیری در قالب متاسپلویت استفاده نمایید و فایل msf.py را اجرا کنید
 

لینک ابزار



[ برای دریافت فایل وارد شوید و یا ثبت نام کنید! ]

امیدواریم این اموزش مفید واقع شده باشد 
موفق باشید. اسیب پذیری
 

0/5 ( 0 نظر )

نیما حسینی هستم بنیان گذار تیم پن تست کور ، مدرس دوره های تست نفوذ و امنیت

مطالب مرتبط

شل معکوس

شل معکوس با استفاده از ابزار revshellgen

در این آموزش ابزاری بسیار حرفه ای با امکانات فوق العاده برای گرفتن شل معکوس به نام revshellgen معرفی می کنیم با ما در ادامه این آموزش هک و امنیت همراه باشید 4/5 ( 1 نظر )   اسکن روتر ها با استفاده از Router Scan

۲ دیدگاه در “اسیب پذیری LFI و بهره برداری از ان”

  • ssd91 بهمن ۱۹, ۱۳۹۷ پاسخ

    سلام چرا در لینک بالا در زمان اسکن یک سایت مثال زدید نام pentescore امده هست .

    • Nima Nani بهمن ۲۰, ۱۳۹۷ پاسخ

      درود
      ما برای نمونه که دستور را چطور باید وارد کنید به این صورت نوشته ایم شما باید در ورودی وبسایت مورد نظر تست نمایید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *