Autor
|
Tema: Vulnerabilidad en la subida de imagenes (Leído 15,262 veces)
|
Jubjub
Desconectado
Mensajes: 708
Lay Ladie lay,...
|
Entonces una whitelist con php y lo tienes todo solucionado, siempre que no tengas lfi, si suben shell en jpg no sera mas que una imagen con errores.
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
^^ entonces marcho tranquilo jeje lo que me falta es lo ams dificil, conseguir que la gente visite la pagina
|
|
|
En línea
|
|
|
|
Darioxhcx
Desconectado
Mensajes: 2.294
|
^^ entonces marcho tranquilo jeje lo que me falta es lo ams dificil, conseguir que la gente visite la pagina jajaja.. eso ya no se programa en php jajajaja
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
ojala xD porcierto,encontre unos addons muy buenos para firefox que analizan webs en busca de xss y sql inyections: bueno no coloco el de sql inyection, no tengo db :/ xd aun
|
|
« Última modificación: 7 Septiembre 2009, 02:00 am por 50l3r »
|
En línea
|
|
|
|
0x5d
|
Pero señores, si es .jpg que coño van a ejecutar? Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse No creas... Si pones en la cabecera GIF89 mas un code malicioso, puedes hacer algo... Soler, creo que a tu code le hace falta verificar las cabeceras. Saludos.
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
antes si, ahora creo que noque ya tengo base de datos testee con esos dos addons y no tengo ni una sola vulnerabilidad, cuando la gente suele tenwer muchas ^^
|
|
|
En línea
|
|
|
|
Jubjub
Desconectado
Mensajes: 708
Lay Ladie lay,...
|
Pero señores, si es .jpg que coño van a ejecutar? Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse No creas... Si pones en la cabecera GIF89 mas un code malicioso, puedes hacer algo... Soler, creo que a tu code le hace falta verificar las cabeceras. Saludos. SI filtras por extensiones y prohibes las .php, php5, php4 y demas, ya que el servidor se basa en ello para ejecutar codigo php o no, no puedes hacer nada, no?
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada
porcierto jub jub, el nick de debajo de tu imagen es por morodo?
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 896
Imagen recursiva
|
no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada
porcierto jub jub, el nick de debajo de tu imagen es por morodo?
Yo pensé lo mismo pero creo que morodo dice lady lady lai
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
ya, se me hacia raro jajaja
|
|
|
En línea
|
|
|
|
|
|