elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  ¿Otra forma de calzar una shellcode por rfi?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Otra forma de calzar una shellcode por rfi?  (Leído 3,326 veces)
insecurealeksei

Desconectado Desconectado

Mensajes: 2


Ver Perfil
¿Otra forma de calzar una shellcode por rfi?
« en: 5 Junio 2009, 22:50 pm »
Hola gente el tema es el siguiente una página aparentemente vulnerable a remote file include en asp (carga sin problemas http://www.google.es) me vuelca el código de la shellcode a la pantalla de  todas las formas que conozco o da error si la extension es de tipo de imagen, incluso añadiendo un nulo %00.asp como si fuera php5 (en mi fase creativa).

¿Hasta que punto de vulnerable es?¿Alguna otra manera de calzar el rfi?

No es de gran prioridad ya que tambien es vulnerable a inyeccion sql y voy tirando por ahi, pero me pica saber porqué!

Gracias de antemano  :-*
En línea
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #1 en: 5 Junio 2009, 22:53 pm »
Por lo que tengo entendido en asp es imposible la remote file inclusion
En línea

SeniorX


Desconectado Desconectado

Mensajes: 1.347


Programador Novato


Ver Perfil WWW
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #2 en: 6 Junio 2009, 05:24 am »
porque si la página entiende asp, como vas a hacer que entienda php?
En línea
Código:
try {
     live();
}
catch (ShitHappensException ex) {
MessageBox.Show(ex.Solution)
}
Precaución: La programacion puede producir adiccion
Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #3 en: 6 Junio 2009, 09:27 am »
no se si asp es interpretado x el servidor o x el navegador
pero php es interpretado x el servidor.. el resultado es visualizado en html

no se si existe la posibilidad de hacer un rfi con asp.. x q la verdad hai ni idea ._.
pero si es asp , es un servidor con windows (hasta donde tengo entendido)
puede que tmb interprete php.. ahora otra cosa si un include en php existe , y si interpreta x ejemplo un .txt como php

yo le daria mas interes a la inyeccion

saludos
En línea
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #4 en: 6 Junio 2009, 12:17 pm »
Cita de: Darioxhcx en  6 Junio 2009, 09:27 am
no se si asp es interpretado x el servidor o x el navegador
pero php es interpretado x el servidor.. el resultado es visualizado en html

no se si existe la posibilidad de hacer un rfi con asp.. x q la verdad hai ni idea ._.
pero si es asp , es un servidor con windows (hasta donde tengo entendido)
puede que tmb interprete php.. ahora otra cosa si un include en php existe , y si interpreta x ejemplo un .txt como php

yo le daria mas interes a la inyeccion

saludos
ASP se ejecuta en es servidor.
En línea

Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #5 en: 6 Junio 2009, 20:04 pm »
porias mirar include en asp y ver si tiene algun fallo
tambien x q no montar un localhost y testear

http://www.desarrolloweb.com/articulos/291.php

suerte
saludos
En línea
insecurealeksei

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #6 en: 7 Junio 2009, 21:28 pm »
Cita de: Darioxhcx en  6 Junio 2009, 20:04 pm
porias mirar include en asp y ver si tiene algun fallo
tambien x q no montar un localhost y testear

http://www.desarrolloweb.com/articulos/291.php

suerte
saludos

Si bueno ASP está claro que tira del lado del servidor http://es.wikipedia.org/wiki/Active_Server_Pages y que asi por encima el rfi tiene que funcionar como funciona en php, el caso es como colocarlo.

Gracias por el link sobre include de asp y las respuestas, lo mirare detenidamente y al localhost.
Comento si hay novedades.
En línea
Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: ¿Otra forma de calzar una shellcode por rfi?
« Respuesta #7 en: 8 Junio 2009, 21:57 pm »
y has visto el source cuando haces el RFI?, creo recordar que conteste éste post preguntando si lo que hacia no era un iframe XD
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines