[VIDEO] Segurança no PHP como acontece RFI e LFI

Started by Wuefez, 10 de February , 2008, 07:02:48 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

Wuefez

10 de February , 2008, 07:02:48 AM
Segurança no PHP como acontece RFI e LFI

Entendendo como funcionam alguns scripts vulneraveis e configurações básicas do PHP.

Fiz esse video com a pura intenção de calar a boca do milorde mesmo.

Tamanho: 368KB
Duração: 03:08 Minutos
Download: http://www.fileden.com/files/2008/1/23/ ... fi-lfi.rar

Comentarios?


"Quem fala não faz."

Reeves

#1
10 de February , 2008, 07:20:21 AM Last Edit: 10 de February , 2008, 11:06:28 AM by Reeves
isso ai Wuefez  :D

olha o lado bom..
se não fosse o milorde
não teriamos essa explicação..
isso sem levar em conta a utilidade claro ^^
já que como na mesma
só funciona em old server..   :P

ps:
akela do "não quero aumentar meu ...."
quase fez eu cair da cadeira de rir... uhAhuA
  °vº   NÃO USE DROGAS,
/(_)\  USE GNU/LINUX
^ ^

shake

#2
10 de February , 2008, 10:14:49 AM
Mandou bem Wuefez
Massa o vídeo...
Bem objetivo!

Tbm concordo com o Reeves...
"deveria fazer mais videos..."
huadsa

flwz

Ilmo. Sr. JulianoRossi

#3
10 de February , 2008, 10:47:52 AM
Olá, Wuefez.

Ficou muito bom...
Bem explicado... valew! :D

Abraços.
"Pior do que a insegurança...
... é a falsa sensação de estar seguro."

Chr0n0

#4
10 de February , 2008, 01:14:55 PM
Muito bom o video, gostei.. sem enrolação nem receita de bolo, direto ao ponto..
Abraços
;)
K.I.S.S

Cloudy

#5
10 de February , 2008, 08:31:37 PM
É, bem simples mesmo porém é o que se pode chamar realmente de video-AULA. Mostra como as coisas funcionam mesmo. Parabéns Wuefez.

E uma coisa que gostaria de deixar comentada aqui. Tanto o PHP quanto o ASP interpretam como parte de sua linguagem tudo que está sendo "includado" na página, tanto que normalmente as Web Shells são .txt, e muitos servers permitem que enviemos arquivos pro servidor e uma falha de LFI pode ser muito útil.

Arquivos que normalmente podem ser enviados pro servidor são imagens, e teoricamente, se colocássemos comentários nas imagens com códigos PHP (Por exemplo), ai incluirmos essa imagem o código seria interpretado e CABUM! Mas ao pegar um servidor Windows aqui, com LFI no portal, upei a "imagem do mal" mas o comentário simplesmente some após o upload, no meu caso não funcionou não sei porque e nem fui atrás descobrir, mas sei que funciona, então é uma coisa a ser pensada. ;)

...by Cloudy
"You have to be trusted by the people tou lied to, so when they turn their back on you, you have the chance to the put the knife in." (Roger Waters)

...by Cloudy

#phobia

#6
11 de February , 2008, 12:18:17 AM
Legal o vídeo, bem simples como disse o Cloudy, claro e sem complicações (se é que tem complicação nisso! ^^).

Considero isso algo básico, que todos aqueles que 'estudam' deface, e até mesmo os que arriscam criar vídeo-aulas, etc deveriam saber... (os admins espalhados por ae também não fogem dessa regra básica! xD)

Não mexo mais com isso, faz tempo...
É triste saber que ainda encontramos globals ON por ai... vejam no que pode dá! ^^


No mais...
Legal o vídeo, se animar fazer uns desses de vez em quando será bem vindo wuefez...  :P

See you!
vlw

Wuefez

#7
29 de May , 2009, 06:40:38 AM
Esses dias recebi um PM pedindo o download dessa aula, dei uma pesquisada no google e achei na area de videos do site do invasão. Créditos devidamente colocados, agradeço a eles por terém salvo essa aula...

Download:
http://rapidshare.com/files/153382980/video_php_rfi-lfi.rar

Tamanho (.rar):
377Kb

Screenshot:




"Quem fala não faz."
Print
Go Up Pages1
User actions