Vulnerabilidad en la subida de imagenes página 2

Foro de elhacker.net

Seguridad Informática

Hacking

Bugs y Exploits

Nivel Web (Moderadores: sirdarckcat, WHK)

Vulnerabilidad en la subida de imagenes

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: 1 [2] 3 4

Autor

Tema: Vulnerabilidad en la subida de imagenes (Leído 15,911 veces)

Jubjub

Desconectado

Mensajes: 708

Lay Ladie lay,...

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #10 en: 4 Septiembre 2009, 19:03 pm »

Pero señores, si es .jpg que coño van a ejecutar? :xD

Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse


	En línea

Jugando con Fósforos, hacking con un tono diferente

.
porno

YST

Desconectado

Mensajes: 965

I'm you

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #11 en: 4 Septiembre 2009, 20:06 pm »

Tiene Path Discloure :xD

Código

<b>Fatal error</b>:  Call to undefined function fnCACHE_cache_check() in <b>/datos/nestor4/wwwplanid/29/5229/0005229/redir/_cache/b/bl/black-box.es.gd</b> on l

Por cierto una recomendación de seguridad ponle un .htaccess adonde se guardan las imagenes que prohiba la vista ( o pon un index.php vacio ) y renombra completamente las imagenes de esa manera si te suben shell no sera tan facil encontrarla :xD


« Última modificación: 4 Septiembre 2009, 20:12 pm por YST »	En línea

Yo le enseñe a Kayser a usar objetos en ASM

50l3r

Desconectado

Mensajes: 784

Solo se que se algo pero no me acuerdo

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #12 en: 4 Septiembre 2009, 21:53 pm »

a que te refieres con ponerle .htacces a las imagenes?

si se le pusiera no dejarian verlas no? si es un hosting?

fijo que me equivoco pero como es la duda??


	En línea

Jubjub

Desconectado

Mensajes: 708

Lay Ladie lay,...

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #13 en: 4 Septiembre 2009, 21:57 pm »

Pero como se va a ejecutar una shell en jpg sin LFI?


	En línea

Jugando con Fósforos, hacking con un tono diferente

.
porno

Darioxhcx

Desconectado

Mensajes: 2.294

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #14 en: 4 Septiembre 2009, 22:43 pm »

con lo del .htacces me supongo que kiere un

web.com/images/
resultado

403 forbidden.. o algo asi...

Cita de: Jubjub en 4 Septiembre 2009, 21:57 pm

Pero como se va a ejecutar una shell en jpg sin LFI?

pasando los datos http , cambias el archivo , osea tenes x ejemplo

Código:

<? include"$page"; ?>

y lo tenes como php.. al tratar de subirlo te dice

Código:

Content-Type: application/octalh steam \n

si lo cambias x

Código:

Content-Type: image/jpeg

va a subir la shell como si fuera un php.. la extension va a ser php , pero va a subir como jpg


	En línea

50l3r

Desconectado

Mensajes: 784

Solo se que se algo pero no me acuerdo

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #15 en: 4 Septiembre 2009, 22:52 pm »

si lo hago cion htacces, las imagenes no se cargarian con los links que doy no?

Luego la vulnerabilidad que dices tu dario, no era la que tenia antes?

corrigeme si no es asi, quizas aun la tenga, prueba a subir un php si quieres, tengo backup hecho sin cambios realizados


	En línea

Darioxhcx

Desconectado

Mensajes: 2.294

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #16 en: 4 Septiembre 2009, 22:57 pm »

lo del htacces seria para la carpeta de las imagenes no mas
mira images hack

http://img146.imageshack.us/img146/2540/89995066.jpg

http://img146.imageshack.us/img146/2540/
404 not found. .a eso creo que se referian...

lo demas lo dijo whk en su post,,

Código:

POST /script.php HTTP/1.1
Host: 127.0.0.1
Connection: close
Content-Type: multipart/form-data; boundary=---------------------------00000000000001
Content-Length: 169

-----------------------------00000000000001
Content-Disposition: form-data; name="archivo"; filename="shell.php"
Content-Type: application/png

<?php phpinfo(); ?>

... que seguramente con el codigo que dio no se podria bypassear
pero nu se :/

saludos


	En línea

50l3r

Desconectado

Mensajes: 784

Solo se que se algo pero no me acuerdo

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #17 en: 4 Septiembre 2009, 23:19 pm »

pense que aun lo tenia,

modifique un poco el code de whk para adaptarlo mejor a lo que pedia mi hosting y asi es, ya habia probado a intentar bypassearlo pero nada

hare lo que me decis del htacces gracias

me ayudais mucho a que mi web progrese


	En línea

Jubjub

Desconectado

Mensajes: 708

Lay Ladie lay,...

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #18 en: 5 Septiembre 2009, 01:52 am »

Si filtras por extensiones es imposible (porque filtras el archivo antes de copiarlo, cierto?)

SI dejas a la mano de dios que filtre el html, estas perdido xD


	En línea

Jugando con Fósforos, hacking con un tono diferente

.
porno

50l3r

Desconectado

Mensajes: 784

Solo se que se algo pero no me acuerdo

Re: Vulnerabilidad en la subida de imagenes

« Respuesta #19 en: 5 Septiembre 2009, 03:14 am »

omg con html claro que no jajaja

estariamos muy seguros si papa html hiciese su trabajo


	En línea

Páginas: 1 [2] 3 4

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	javascript para la subida de imagenes en una pagina web Desarrollo Web	condorito	0	1,823	13 Marzo 2017, 06:48 am por condorito
	Que programacion para rellenar formulario web con subida de imagenes .NET (C#, VB.NET, ASP)	nomed	5	5,236	11 Junio 2017, 21:47 pm por nomed
	[Pregunta]: ¿Como validar CORRECTAMENTE la subida de imagenes? Desarrollo Web	Leguim	3	2,619	21 Julio 2019, 04:42 am por @XSStringManolo