• ¡Welcome to Square Theme!
  • This news are in header template.
  • Please ignore this message.
مهمان عزیز خوش‌آمدید. ورود عضــویت


امتیاز موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
Title: SSI Injection - Server side include injection
حالت موضوعی
#1
سلام دوستان عزیز
ما در این حملات میتونیم دستورات خود را روی تارگت اجرا کنیم
به طور مثال میتونیم لیست یوزرها را ببینیم و ....
فقط تنها چیزی که هست ما باید به دستورات لینوکس و ویندوز اشنایی داشته باشیم
و سرور باید از ssi پشتیبانی کنه
این اسیب پذیری بر روی صفحه های html مانند shtml , shtm , stm قابل رویت است
ما میتونیم برای شناسای این اسیب پذیری از دستورات که در زیر ذکر میکنم استفاده کنیم
تمام دستورات واضح هست
دستورات :
http://upload.matlabha.ir/do.php?id=1754
(نمیزاره پست کنم)
که بهتره ما دستور اول اجرا کنیم که به ما تاریخ و ساعت سرور را نشان میدهد که اگه بتونیم ببینیم
به این معنی است که اسیب پذیر هست
حالا ما این دستورات را در کجا میتونیم استفاده کنیم
کد:
Text box - search box - Address Bar - Headers
ما حتی میتونیم از اسیب پذیری xss برای تزریق این دستورات استفاده کنیم
و میتونیم از برنامه Tamper Data هم استفاده کنیم و برای تزریق دستور خور از قسمت User-Agnet کد خود را وارد کنیم
میتونید تغییر بدین
کد:
inurl:index.shtml
inurl:index.shtm
inurl:index.stm
این هم یه فیلم آموزشی :
http://uploadkon.ir/uploads/226a44425a79...5f8b3f.rar
اگه مقدور هست کسی داخل انجمن پیوست کنه
با تشکر از Zlil0o0n

 
پاسخ
  


موضوعات مشابه ...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  کلیپ اموزش حرفه ای sql injection Amin_Mansouri 0 4,260 06-07-2012، 11:58 PM
آخرین ارسال: Amin_Mansouri
  اموزش حمله Sql injection بصورت انلاین Amin_Mansouri 0 6,156 06-05-2012، 11:28 PM
آخرین ارسال: Amin_Mansouri

پرش به انجمن:


Browsing: 3 مهمان