elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Vulnerabilidad en la subida de imagenes
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] Ir Abajo Respuesta Imprimir
Autor Tema: Vulnerabilidad en la subida de imagenes  (Leído 15,317 veces)
Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #30 en: 13 Septiembre 2009, 01:29 am »

no creo que se pudiese, es mas, he visto rfi`s en los cuales asignabas remotamente tu php y solamente se veia el texto, y no podia ejecutarse nada

porcierto jub jub, el nick de debajo de tu imagen es por morodo?
:xD  Es de Bob Dylan :silbar:
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #31 en: 13 Septiembre 2009, 02:02 am »

Pero señores, si es .jpg que coño van a ejecutar? :xD

Si no tienes LFI, ni te preocupes, subiran la shell terminada en jpg, y simplemente dara error al mostrarse :D


No creas...
Si pones en la cabecera
GIF89 mas un code malicioso, puedes hacer algo...
Soler, creo que a tu code le hace falta verificar las cabeceras.

Saludos.

SI filtras por extensiones y prohibes las .php, php5, php4 y demas, ya que el servidor se basa en ello para ejecutar codigo php o no, no puedes hacer nada, no?
Prueba poniendo un archivo .php.renombralo :xD Te lo ejecuta igual :P
En línea



Yo le enseñe a Kayser a usar objetos en ASM
50l3r


Desconectado Desconectado

Mensajes: 784


Solo se que se algo pero no me acuerdo


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #32 en: 13 Septiembre 2009, 10:59 am »

que quieres decir con eso yst, que hay vulnerabilidad?

o que con ese metodo se podria conseguir en x web?
En línea

Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #33 en: 13 Septiembre 2009, 12:56 pm »

Prueba poniendo un archivo .php.renombralo :xD Te lo ejecuta igual :P

No me jodas, voy a verlo corriendo, que si es asi tengo al menos 5 aplicaciones vulnerables corriendo por ahi :(

Gracias por el aviso! :D
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #34 en: 13 Septiembre 2009, 13:03 pm »

Comprobado, funciona perfectamente, tenias razon :P

Gracias de nuevo por el aviso, voy a parchear tods mis sitios :laugh:
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
50l3r


Desconectado Desconectado

Mensajes: 784


Solo se que se algo pero no me acuerdo


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #35 en: 13 Septiembre 2009, 13:05 pm »

mmm sabriais decirme si mi sitio sufre ese error?

a que se debe el error? solo basta con quitar extension o como?
En línea

YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #36 en: 13 Septiembre 2009, 16:48 pm »

que quieres decir con eso yst, que hay vulnerabilidad?

o que con ese metodo se podria conseguir en x web?
En el metodo de WHK no hay bug ya que detecta la ultima extención y filtra si no es jpeg,gif,etc.. , pero en muchos uploader's que solo filtran extensiones como el .php y eso si esta ese bug :P
« Última modificación: 13 Septiembre 2009, 16:50 pm por YST » En línea



Yo le enseñe a Kayser a usar objetos en ASM
50l3r


Desconectado Desconectado

Mensajes: 784


Solo se que se algo pero no me acuerdo


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #37 en: 13 Septiembre 2009, 17:36 pm »

ya decia yo xd
En línea

naderST


Desconectado Desconectado

Mensajes: 625



Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #38 en: 15 Septiembre 2009, 01:50 am »

Una pregunta no bastaría con chequear que el archivo termine en una extensión válida de imagen?
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Vulnerabilidad en la subida de imagenes
« Respuesta #39 en: 15 Septiembre 2009, 02:09 am »

Una pregunta no bastaría con chequear que el archivo termine en una extensión válida de imagen?
Nop, no basta..
imagina que filtras jpg entonces mi archivo se podria llamar test.zip.fakejpg, por eso es mejor separar el cuerpo del archivo con la extensión obteniendo e ultimo grupo de caracteres despues del ultimo punto y comenzar a comparar tal como lo dije mas arriba. Esto es seguro hasta el punto en que no tengan LFI, en ese caso entonces es mejor usar imagemagic o GD ya que nunca debes fiarte de las cabezeras type de un archivo ya que pueden ser spoofeadas sin problemas. al igual que el header del binario de la supuesta imagen, que comienze con PNG% y ya, el resto puro código php.
En línea

Páginas: 1 2 3 [4] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
javascript para la subida de imagenes en una pagina web
Desarrollo Web
condorito 0 1,728 Último mensaje 13 Marzo 2017, 06:48 am
por condorito
Que programacion para rellenar formulario web con subida de imagenes
.NET (C#, VB.NET, ASP)
nomed 5 5,120 Último mensaje 11 Junio 2017, 21:47 pm
por nomed
[Pregunta]: ¿Como validar CORRECTAMENTE la subida de imagenes?
Desarrollo Web
Leguim 3 2,494 Último mensaje 21 Julio 2019, 04:42 am
por @XSStringManolo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines