|
Título: Injection PHP en GIF/JPG ¿Funciona? Publicado por: searchcode909 en 26 Enero 2012, 01:22 am Hola.
Acabo de realizar una pequeña aplicacion web que permite al visitante subir imagenes. Recordé que habia un bug para añadir en los comentarios o al final de la imagen código php para que fuese ejecutado al mostrar la imagen .gif o .jpg.. Lo he probado y no a funcionado. Me pregunto si es que en las nuevas versiones de PHP esto ya a sido arreglado y no puede ser explotado. Si hay alguna forma, porfavor, haganmelo saber. Muchisimas gracias. Título: Re: Injection PHP en GIF/JPG ¿Funciona? Publicado por: toxeek en 27 Enero 2012, 21:04 pm Existen unas pocas de formas de tratar vulnerar un uploader ..
Yo de ti me miraba algo sobre PHP file upload security. Se puede manejar el MIME type, etc.. Echale un vistazo ! Título: Re: Injection PHP en GIF/JPG ¿Funciona? Publicado por: searchcode909 en 28 Enero 2012, 22:12 pm Hola de nuevo y gracias por tu ayuda.
Pregunto esto de la imagen GIF, por ejemplo, por si encuentro una vuln Remote file inclusion RFI. ¿Ya no podria explotarla,verdad? Antes bastaba, con subir una shell php a un servidor remoto y cambiarle la extensión de .php a .gif y ya se ejecutaba en el servidor victima. Ahora aparece el mensaje: "Esta imagen contiene errores y no se ha cargado" o algo asi. ¿Esto ya no se puede explotar de ninguna forma? Tengo una pequeña vuln que creo haber descubierto en un producto bastante importante, el cual se trata de un RFI, si se le pudiera inyectar una shell a una imagen, claro. |