اسیب پذیری LFI و بهره برداری از ان

اسیب پذیری

اموزش اسکن اسیب پذیری LFD و راه های تست نفوذ از طریق این باگ با PentestCore nv در ادامه این اموزش هک و امنیت همراه باشید

آسیب پذیری LFI

همان طور که در اموزش باگ LFI گفته شد LFI یک اسیب پذیری در اپلیکیشن های تحت وب است 
که امکان خواندن فایل های مهم و حساس سرور را به نفوذگر میدهد که به صورت کلی قایل etc/passwd را با استفاده از این باگ میخوانند
اما در این اموزش میخواهیم نحوه اسکن این اسیب پذیری را با ابزار بسار ساده و کار امد اموزش دهیم
 

معرفی ابزار Liffy

Liffy ابزاری برای اسکن اسیب پذیری LFI است که به زبان پایتون نوشته شده است و در هر سیستم عالی قابل استفاده است
اما پیشنهاد میشود از همه ابزار هایی که معرفی میشود تا حد ممکن در لینوکس و مجازی ساز استفاده نمایید 
و توزیع لینوکس های مختلفی وجود دارند که برای تست نفوذ و امنیت ساخخته شده اند میتوانید اموزش سیستم عامل های هکر ها را مشاهده نمایید  
 

نحوه نصب و استفاده از ابزار Liffy برای اسکن اسیب پذیری

ابتدا لینک ابزار را از اخر امورزش بعد از ثبت نام و ورود در سایت دریافت نمایید
سپس دستور زیر را در ترمینال لینوکس خود برای دریافت ابزار وارد نمایید

git clone Link

سپس وارد پوشه دانلود شده با دستور Cd و نام پوشه شوید

cd liffy

حال با استفاده از پایتون Liffy را اجرا کنید 

python liffy.py

سویچ های راهنما را در خروجی مشاهده خواهید کرد  
میتوانید با استفاده از این سویچ ها سایت مورد نظر خود را اسکن نمایید و اسیب پذیری LFI را پیدا کنید 
برای مثال ّه دستور زیر توجه کنید

python liffy.py –url http://site.com/lfi-PentestCore.php?file= –filter

آسیب پذیری LFI
با استفاده از سویچ –url ورودی سایت اسیب پذیر را معرفی کرده ایم و با سویچ اخر –filter امکان خواندن فایل را خواهیم داشت
سویچ های مختلفی وجود دارند که بعضی از ان ها را معرفی میکنیم :

  •  expect , input , data : برای اجرای دستور 
  • filter : خواندن فایل ها
  • cookies : تغیر کوکی و سشن 
  • location : ادرس فایل ها 
  اسکنر جوملا با ابزار joomlavs

نکته : همچنین میتوانید از این ابزار برای اسکن اسیب پذیری در قالب متاسپلویت استفاده نمایید و فایل msf.py را اجرا کنید
 

لینک ابزار



[ برای دریافت فایل وارد شوید و یا ثبت نام کنید! ]

امیدواریم این اموزش مفید واقع شده باشد 
موفق باشید. اسیب پذیری
 

0/5 ( 0 نظر )

نیما حسینی هستم بنیان گذار تیم پن تست کور ، مدرس دوره های تست نفوذ و امنیت

مطالب مرتبط

هک با فایل pdf

تست نفوذ و هک با فایل pdf

در این قسمت از اموزش قصد داریم شما را با نحوه تست نفوذ سیستم به وسیله فایل pdf اشنا کنیم. با ما در ادامه این اموزش هک و امنیت همراه باشید . 5/5 ( 1 نظر )   روش های دانلود فایل php سایت و مشاهده سورس آن

هک لاراول

هک لاراول با استخراج فایل .env

در این اموزش به نحوه هک لاراول با برسی فایل .env توسط ابزار laravelN00b می پردازیم با ما همراه باشید. 0/5 ( 0 نظر )   احراز هویت در فضای مجازی – بررسی انواع احراز هویت دیجیتال

۲ دیدگاه در “اسیب پذیری LFI و بهره برداری از ان”

  • ssd91 فوریه 8, 2019 پاسخ

    سلام چرا در لینک بالا در زمان اسکن یک سایت مثال زدید نام pentescore امده هست .

    • Nima Nani فوریه 9, 2019 پاسخ

      درود
      ما برای نمونه که دستور را چطور باید وارد کنید به این صورت نوشته ایم شما باید در ورودی وبسایت مورد نظر تست نمایید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *