Excelente idea gracias por compartir

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Yo también hice uno cuando leí sobre sockets en php jeje

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Nota: Antes de que que me troleen pueden hacerme criticas constructivas xD salu2

No soy bueno troleando, así que me paso a las criticas constructivas xD...

• Deberías empezar a usar funciones para una mejor "Programación estructurada"
• Te recomiendo usar Operaciones Ternarias, así es más legíble el código

Y en:

if(!empty($url) && !empty($pi) && !empty($pf)){...

Puedes hacerlo más "simple":

if(!empty($url)&&($pi)&&($pf)){...

Zalu2! 

Gracias bro salu2

Bueno underc0de he terminado la parte cuatro, lo hago cada que tengo tiempo lo bueno es que en blogger queda guardado xDDD no viene alcaso pero bueno aqui les dejo el enlace:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

espero que les guste  salu2

Bueno siguiendo la idea de Sanko en su post: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
pues entonces pense que se podia hacer en php y pues aqui lo dejo, no soy muy bueno programando pero a lo mejor  alguien le sirve....

<title>Escaner puertos</title>
<style>
	body{
		background-color: black;
		color:white;
	}
</style>
<?php
//no se cuantos puertos escanearemos entonces dejo que el script pueda ejecutarse y se tome su tiempo :P
set_time_limit(0);
//si existe enviar entonces.... que realice los siguientes procesos
if(isset($_POST['enviar'])){
	//atrapo todos los parametros del formulario y les quito xss :P
	$url=htmlentities($_POST['url'],ENT_QUOTES);
	$pi=htmlentities($_POST['pi'],ENT_QUOTES);
	$pf=htmlentities($_POST['pf'],ENT_QUOTES);
	//si no esta vacio ninguno de los campos Nota: Esto se puede validar mucho mas tanto como tu quieras...
	if(!empty($url) && !empty($pi) && !empty($pf)){
		//le muestro un mensaje con el objetivo y uno que espere mientras esta escaneando...
		echo '<h3>Objetivo:<font color="red">'.$url."</font></h3><br />";
		echo 'Espere mientras se esta escaneando puede tardar.<blink>.</blink><blink>.</blink><br />';
		//le asigno a $i el valor de pi que es el puerto inicial y mientras el puerto inicial sea menor al puerto final va aumentar de 1 a 1
		for($i=$pi;$i<=$pf;$i++){
			//si la coneccion se realizo existosamente entonces el puerto esta abierto
			//los parametros de fsockopen son la url,puerto,error coneccion,error coneccion,tiempo limite
			if($connect=@fsockopen($url,$i,$errno,$errstr,5)){
				echo '<font color="#30E319">Puerto abierto:'.$i."</font><br />";
				//cierro la coneccion
				@fclose($connect);
				//borro la variable connect se creara arriba
				unset($connect);
			}else{
			//si no se realizo la coneccion no devuelvo nada
				echo NULL;
				//echo 'Puerto cerrado:'.$i."<br />"
		}
		//libero el buffer
		flush();
	}
	}else{
		//si los campos estan vacios muestra un mensaje y el formulario
		echo '<b>Rellena los campos correctamente</b><br />';
		echo '
	<h1>MiniScanner de Puertos:</h1>
		<form action="" method="post">
			<b>Ingresa la url:</b><input name="url" type="text" value="www."><br />
			<b>Ingresa el puerto inicial:</b><input name="pi" type="text"><br />
			<b>Ingresa el puerto final:</b><input name="pf" type="text"><br />
			<input name="enviar" type="submit">
		</form>
	';
	}
}else{
	//sino existe enviar que me muestre el formulario
	echo '
	<h1>MiniScanner de Puertos:</h1>
		<form action="" method="post">
			<b>Ingresa la url:</b><input name="url" type="text" value="www."><br />
			<b>Ingresa el puerto inicial:</b><input name="pi" type="text"><br />
			<b>Ingresa el puerto final:</b><input name="pf" type="text"><br />
			<input name="enviar" type="submit">
		</form>
	';
}

?>

Nota: Antes de que que me troleen pueden hacerme criticas constructivas xD salu2

Bueno como todos sabemos tenemos un servicio para obtener la ip en underc0de es algo basico pero con un comando estaria mucho mejor o mas facil, por ejemplo:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
nuestro servicio

para poder usar lo siguiente necesitamos tener instalado curl: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
si usas ubuntu sigue estos pasos: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ahora solo ejecutar lo siguiente:

curl http://www.underc0de.net/myip.php | grep 'Mi IP:

pero que pasa sale el pantallazo mostrandote tu ip:


bueno pero esto todavia sigue siendo muy largo y muy dificil de recordar ¿no creen?, pues podemos utilizar un alias... creamos uno editando el archivo, para ello tienes que encontrarte en la home, puedes usar cd

cd

sudo gedit .bashrc

alias miip="curl http://www.underc0de.net/myip.php | grep 'Mi IP:'"

quedando asi:


entonces para obtener la ip es tan facil como usar, miip como si fuese un comando

miip

espero que este tip les haya sido de utilidad, aunque se que es demasiado basico para algunos jejeje salu2

Que tal underc0de, he estado siguiendo con la serie todavia no termino pero espero que les guste esta parte

ver online:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

les dejo un video de todo lo que llevaremos hasta ahora



salu2

Bueno amigos de underc0de he sacado la parte 2 como no tenia nada que hacer estos dias xDDD
Sin nada mas que decir aqui se las tengo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

la posteo asi por que esta mas o menos largito para ponerlo como post xDD

Les dejo un video de un script realizado como conclusion de el minitutorial

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Brother, tengo una duda.

Respecto a LOAD DATA LOCAL INFILE (no la conocía xD) he estado probando algunas cosas y me parece perfecto, pero en el caso de que quiera ejecutar una función del MYSQL no lo ejecuta, me explico.

INSERT INTO tabla(campo, bla, blabla) VALUES('valor','otro',now()); me lo ejecuta perfectamente.

Pero si lo hago de un fichero de texto.

CitarArchivo de texto   Probando...   now()

Pasa literalmente "now()" y no el valor ejecutado, se me ha ocurrido entre `now()` y no funciona xD.

¿Sabes cómo pasar el valor?

---

Por cierto hay una forma de validar un email (sencilla) sin tener que hacerlo con expresiones regulares que yo uso:

<?php
filter_var($email,FILTER_VALIDATE_EMAIL);
?>

Buen tuto, esperando la segunda parte
Zalu2

Excelente es mas rapida tu funcion para filtrar email, muchas gracias he mirado que filter_var no solo tiene para email sino para muchos mas, por cierto acerca de cuando agregas una funcion en un texto para load data local infile este automaticamente toma todo por cadena, es decir, por texto asi que no interpreta funciones, otra cosa interesante que mire es que para usar esta funcon esta claro que debemos tener permisos de FILE

Salu2

Bueno amigos de under0code este tutorial lo hice para mi blog pero se los traigo para compartirselos es muy largo por lo que lo subi a mediafire....

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

espero les guste la primera parte

Hola amigos de underc0de este articulo lo postee en mi BLOG pero decido postearlo aqui tambien espero les guste :p

En este tutorial intentare mostrar como inyectar en una database MySQL Version 4....
Antes que nada debemos tener un poco de conocimientos de SQL o MySQL.
Bueno tenemos una url vulnerable.... En este caso pues yo ya se que es Version 4...
Empecemos....

Primero empezaremos viendo si la pagina es vulnerable para ello pondremos en la consulta host de la pagina un ' o " o \ o cualquier caracter no valido que pueda romper una query(peticion)....



Bueno como vemos hemos roto la consulta con un ' y sabemos que nuestra DBMS es MySQL.... ahora empecemos a ordernar columnas



hicimos un order by 10 es decir que ordenemos las columnas por la columna 10... pero como esa columna no existe nos envia un error "Unknown column '10' in 'order clause' " que dice que no existe la columna 10 en order by clause ....

entonces vamos intentando menos... como sabemos que no existe 10 por logica entonces debemos intentar menos por que no 5?



vemos que nos arroja la pagina entonces con esto sabemos que si logro ordenar por 5 columnas esto no quiere decir que tenga 5... intentemos ponerle 6 order by 6



Ahora si estamos seguros de que esta consulta tiene 5 columnas por que a la 6 nos arrojo que no existia entonces estaria algo asi:

$query='select column1,column2,column3,column4,column5 from table where id=$id';

bueno entonces como ya sabemos cuantas columnas contiene solamente las unimos.... union select 1,2,3,4,5



cuando hacemos el union de columnas nos arroja unos numeros con eso sabemos que esos son los campos vulnerables 3 y 4 y podemos inyectar ahi nuestras funciones.... por ejemplo: version() user() database(), etc...



bueno ahi tenemos sacamos la version() que es 4.1.22 y el user con el que podriamos conectar a mysql....

entonces como sabemos que es una version 4 en esta version no se encuentra la base de datos de tipo metadatos information_schema con la que se podria conseguir las otras bases de datos, tablas, columnas y registros por lo que en este caso tendriamos que adivinar

entonces si ya sabemos los numeros de columnas que hay en la query solo haria falta saber desde que tabla esta seleccionando esos datos.... para ello vamos a hacer adivinando (modo bruteforce) entonces nuestra consulta formada seria de la siguiente manera:

union select 1,2,version(),user(),5 from admin

como ven admin es una tabla que no sabemos si es o no admin solo que estamos adivinando.... podria ser cualquier otra pueden usar, ya hay tablas mas usadas para ello pueden usar las que dejo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

entonces que nos saldra con la de admin ....
union select 1,2,version(),user(),5 from admin.....



como ven dice que la tabla admin no existe con eso sabemos que tenemos que buscar otra tabla y asi hasta dar con una tabla que pueda ser interesante....

el error seria:

table database.admin doesn't exist

entonces seguiremos intentando con las tablas.....



como la pagina se mostro normal con las columnas que insertamos entonces sabemos que la tabla es correcta, la tabla seria administrators....

union select 1,2,version(),user(),5 from administrators

ahora entre los campos vulnerables tenemos que empezar a buscar adivinando las columnas que pueda haber en la tabla administrators....

y bueno para no seguir lo mismo pueden usar la tabla de arriba e intentar adivinar (bruteforce) por ejemplo puedes usar id que seria normal que haya muchos usuarios en esa tabla entonces insertamos id como columna....

union select 1,2,id,user(),5 from administrators



vemos que id es un campo correcto entonces podemos ir anotando datos en un bloc de notas, gedit, kate, etc....

seguimos intentando a bruteforce (adivinando), hasta encontrar todos los campos en este caso encontre que eran: id,user_name,user_password ....

entonces podriamos hacer un group_concat para que nos mostrara todos los registros juntos, group_concat no puede devolver todos los registros si son demasiados por lo que muchas veces necesitaras utilizar solamente concat o concat_ws con un limit de los registros a devolver.....

en este caso seria algo asi:
union select 1,2,group_concat(id,0x2d,user_name,0x2d,user_password),user(),5 from administrators

donde 0x2d seria un campo hexadecimal un divisor para que sepamos donde esta cada registro 2d es igual a - en hex pero para que mysql lo reconosca como hexadecimal agregamos 0x



entonces tenenemos dos usuarios administrators esto lo sabemos por el separador o divisor - id-user_name-user_password

como ven nuestro usuario esta encriptado y para saber el tipo de encriptacion solo hay que saber algo sobre criptografia.....

en este caso es un md5($pass,$salt)
podemos usar un software como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para intentar desencriptarlo por medio  de diccionarios.....
o tambien puedes utizar webs online que realizan este trabajo de una manera mas rapida por que tienen guardados los datos en su base de datos.....



encontradas las passwords podemos buscar si esta aplicacion tiene programado algun panel de admin pero como tiene user y pass deberia tener no(?)
entonces podriamos empezar a buscar por robots.....

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

muchas veces podemos encontrar cosas interesantes....

la otra opcion que se puede usar es google o bing o cualquier buscador

site: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

y encontrar enlaces que puedan servir....

otra opcion es algun directory fuzzer o admin panels finders hay online tambien de estos..... aunque en este caso no utilizare por que se cual es podrias usar por ejemplo: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o un servicio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Bueno ahi tenemos nuestro login entonces lo que aqui sabemos es que es un You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login osCommerce nos logeamos con el user y password(desencriptada)

Encontre que la pagina de administracion tenia un script que redirigia a otra web despues de acceder por lo que active You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para que no se ejecutara el script....




revisando la pagina de administracion no tenia nada para subir shell, entonces lo que hice es como tenemos acceso a la administracion y sabemos que tenemos un cms un poco desactualizado buscamos algunas vulenrabilidades por google

y me encontre con uno You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
lo siguiente subir mi shell.....





Listo de aqui terminaria el articulo podriamos hacer mas ataques de vulnerabilidades, o simplemente borrar la shell dejar un simple txt para darte un credito y avisar al administrador..... nunca defacear por que como dijo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en su articulo de vulnerabilidades web comunes muchos webmasters se enojan y te buscan para encarcelarte, otros puede que sean tus amigos pero la mayoria se enojaria a nadie le gusta que le digan sus errores xD

item una nueva cosilla xD

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Una forma de information gathering en Wordpress y ahorrarse de utilizar tools seria usar Readme.html ("versión") y para los usuarios solo basta fijarse en cada post el nombre del redactor. Si es que no se encuentra de esa manera los buscas como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.com/?author=1 y en el URL aparece lo siguiente You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de esata manera ya contienes el id que es 1 y el username que es CodePunsiher.

Y para llegar a realizar un ataque de brute force usas un complemente de firefox llamado "FireForce" y puede realizar en métodos Post y Get, siendo el punto fuerte la generación de su propio diccionario.

Bueno el manual.

gracias por el dato

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Solo una observación, el codigo que mostraste vulnerable mas bien se referencia a un RFI
un mejor ejemplo seria uno donde añade un path antes de la ruta del include
donde haces el salto de directorios para jalar codigo

Tambien funciona para LFI pero de todas maneras he agregado un apartado de correcciones, y agregando en el tutorial el codigo que comentas con un ejemplo salu2

Bueno underc0de tengo rato sin postear este lo hice en mi blog pero lo posteare aqui tambien espero que les guste un saludo

¿Que es?

Lfi significa local file include y lo que hacemos en este tipo de vulnerabilidad es pedir un archivo local por medio de la url, esto se causa por que muchos programadores no filtran sus codigos, un ejemplo comun puede llegar a ser:

<?php
$pagina=$_GET['pagina'];
include($pagina);
?>

Este codigo lo que hace es mostrar la pagina que incluyamos por ejemplo: menu.php index.php etc...
Sabiendo eso podemos formar un dork, por ejemplo:
inurl: index.php?pagina=menu.php

inurl significa buscar en url lo siguiente ...
puedes usar google como bing o diferentes buscadores muchos arrojan diferentes resultados....

Ahora sabemos que la LFI es causada por no filtrar bien las funciones include() require() require_once() include_once()

Como explotarla

entonces como ejemplo tenemos algo asi:


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

con esto muchas veces podemos saber que la variable pagina es vulnerable debido a que esta incluyendo un archivo sin filtrarlo .... que pasa si ponemos lo siguiente:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

como no es encontrada el archivo requerido arroja un error, muchas veces no lo arroja esto es por que muchos tienen desactivado error reporting pero igual es probable poder inyectar este tipo de vulnerabilidad

bueno siguiendo con el ejemplo anterior nos arrojaria algo asi:



como vemos tenemos dos directorios antes del archivo index.php es decir /homes-www/mercadier si recuerdas en linux puedes hacer cd .. y recorres un directorio atras... pues es lo que haremos escalar directorios para atras....

digamos quiero coger el archivo /etc/passwd de esa web seria: ../../etc/passwd es decir me recorro las dos carpetas despues de index y luego entro a /etc/passwd querdaria asi:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

esto me mostraria el archivo passwd que contiene los usuarios,ids,grupo,terminales,contraseña



muchas veces la contraseña lo tapa con x entonces para ello sabemos que se encuntran en un archivo llamado shadow que se encuentra en el mismo directorio /etc/shadow muchas veces ese archivo no se puede acceder a el por que es necesario privilegios de usuario como root por ejemplo....



tambien podemos escalar cosas diferentes como son... /proc/cpuinfo que nos ofrece informacion del cpu o los logs de apache para eso hay que ver los directorios puede haber muchos dependiendo del servidor como este instalado por ejemplo en mi caso tengo xampp en localhost seria de esta manera:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Ahora como ves no se encuentra muchas cosas pero estos los son los accesos a las webs, imaginate que en los logs se muestre algo como la cabecera user-agent es decir el navegador entonces podriamos inyectar con un sniffer de http como live https headers o tamper data e infectar los logs por ejemplo, modificar esa cabecera user-agent y poner un codigo php para mostrar un phpinfo() y veriamos en los logs la informacion del php esto seria infectar los logs.... tambien se pueden infectar logs por /proc/self/environ pero muchas veces no se muestra... veremos como infectar logs para darnos RCE (remote code execution )

Infectando logs por medio de /proc/self/fd

Bueno este es un nuevo agregado a este tutorial que es infectar logs por medio de /proc/self/fd y asi obtener RCE (remote command execution)
Para empezar utilizare You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login por que simplemente me carga mas rapido que el firefox que como son archivos largos puede llegar a colgarse.... empecemos haciendo una peticion del archivo /proc/self/environ a una web vulnerable a LFI...



bueno entonces intentemos con algo como /proc/self/cmdline o /proc/self/stat o /proc/self/status

con cmdline devuelve la linea de comandos si hago una poc(proof of concept) en mi pc sale bash y si hago una poc(proff of concept) en la web sale php con esto sabemos que su cmdline en este caso es el proceso php

stat y status nos devuelve el estado con su pid en el primer caso y en el segundo con size y mas informacion adicional



Ahora el /proc/self/fd = Este es un subdirectorio que contiene una entrada para cada archivo que tiene abierto el proceso, nombrada con el descriptor de fichero, y que es un enlace simbólico al archivo real. Por lo tanto, 0 es la entrada estándar, salida estándar 1, 2 error estándar, etc

para mas informacion sobre You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

bueno en este caso queremos encontrar la entrada del archivo del proceso abierto y como no sabemos usaremos bruteforce intentando hasta encontrar el archivo correcto....

Les dejo una wordlist aunque ustedes pueden crear una para esto o para cualquier cosa como blindsqli, bruteforce http etc burp es una gran suite

/proc/self/fd/0
/proc/self/fd/1
/proc/self/fd/2
/proc/self/fd/3
/proc/self/fd/4
/proc/self/fd/5
/proc/self/fd/6
/proc/self/fd/7
/proc/self/fd/8
/proc/self/fd/9
/proc/self/fd/10
/proc/self/fd/11
/proc/self/fd/12
/proc/self/fd/13
/proc/self/fd/14
/proc/self/fd/15
/proc/self/fd/16
/proc/self/fd/17
/proc/self/fd/18
/proc/self/fd/19
/proc/self/fd/20
/proc/self/fd/21
/proc/self/fd/22
/proc/self/fd/23
/proc/self/fd/24
/proc/self/fd/25
/proc/self/fd/26
/proc/self/fd/27
/proc/self/fd/28
/proc/self/fd/29
/proc/self/fd/30
/proc/self/fd/31
/proc/self/fd/32
/proc/self/fd/33
/proc/self/fd/34
/proc/self/fd/35

no enseñare como configurar el burp suite ya que solo es una proxy y la puedes configurar desde el navegador para atrapar la web pero si explicare como hacer para atacar con el wordlist

tenemos nuestro Host a vulnerable a LFI y lo mandamos a intruder seria algo asi: Click derecho o action > Send to intruder
en intruder seleccionamos positions y damos un clear$ que seria limpiar y luego agregamos (add$) la ruta a escalar, ejemplo:



luego configuramos el payload agregamos el archivo wordlist desde load... y lo seleccionamos lo tienen arriba solo lo guardan como txt xD, despues de eso en el menu de arriba clickeamos intruder>start attack



buscamos una entrada relacionada con la web que estamos y dice que tenemos un error al pedir el archivo favicon.ico
entonces en repeater hago una peticion a /favicon.ico y pongo una cabecera referer inyectando el codigo malicioso por ejemplo

<?php system('ls'); ?>

por ultimo hacemos de nuevo una peticion al archivo donde encontramos esos registros.... /proc/self/fd/numeroqueobtuvistes




Nuestro amigo Psymera comenta algo de un codigo con un path que seria asi:

<?php
$pagina=$_GET['pagina'];
include("upload/$pagina");
?>

donde upload seria nuestra carpeta aunque seria lo mismo nos saldria un error con lo cual tendriamos que escalar las carpetas del servidor incluyendo tambien la carpeta upload.... un ejemplo de este error seria:



por lo que solo seria escalar dos carpetas mas despues del FPD (Full path disclousure)  que seria: ../../../../../../etc/passwd y entonces:



Este tipo de webs lo tome de un exploit de un cms que encontro Daniel Godoy...

tambien podriamos con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login hacer un enlace para obtener un recurso por ejemplo obtener el index de una web por medio de un LFI, por ejemplo:

pagina.com/index.php?pagina=You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

tambien podriamos con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login hacer un enlace para obtener un recurso por ejemplo obtener el index de una web por medio de un LFI, por ejemplo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



esto nos mostraria el codigo del archivo index.php convertido a base64 con lo cual solo lo decodificariamos....



y con seguir buscando dentro del codigo podiamos encontrar un require() include() o un SQLI u otras vulnerabilidades, en este caso fue la base de datos




Otro ejemplo es usar data:// para obtener datos por medio de cabeceras de content-type por ejemplo seria hacer esto:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



ese base64 es un archivo php con una funcion system() pidiendo todo lo que se inque con cmd

por ultimo tambien puedes usar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para ingresar una shell en los datos por post pidiendo asi comandos



esa herramienta de arriba es la hackbar puedes descargar un manual en este mismo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Incluso por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login puedes obtener un lfi:



Evasion de WAF's

Muchas veces los WAF (Web Application Firewall) detectan una ataque  LFI respondiendo con otro tipo de codigo de estado que el normal -->200 OK como puede ser 403 Forbidden,501 No implementado,etc

Para ello usamos NULL BYTES que seria algo vacio %00 esta encodeado en urlencode, en este caso no tengo casos de ejemplo pero puedo mostrar como se conformaria este tipo de urls:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra manera seria encodear la barra (/)  que seria %2F

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

bueno estas solo son dos si saben mas avisen y agrego, para estos casos es solo imaginar como evadir el firewall de una aplicacion web

Como evitar un ataque LFI

podriamos usar condicionales en el codigo.... en este caso un switch dependiendo del numero de pagina incluidas y por defecto incluir una pagina si se pide otra cosa....

<?php
$pagina=$_GET['pagina'];
switch ($pagina) {
 case 'about.php':
  include('about.php');
  break;
 
 default:
  include('index.php');
  break;
?>

Correciones

Bueno antes que nada me he equivocado en algunas partes y quiero compartilas y agradecer a Dedalo, Psymera ,Q3rv0 si alguien encuentra otro error en el tuto diganme y le hago un edit o si se saben otro metodo aparte de este tambien diganlo y le agregamos ....

Correcion 1: En el codigo de solucion tenia un include todavia en ves del switch <-- corregido
Correcion 2: Para el Wrapper You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es necesario tener activado allow_url_include = On esto se puede modificar desde php.ini o .htaccess
Correcion 3: Para el Wrapper data:// es necesario tener activado allow_url_include y allow_url_fopen por lo que no serviria en este caso de LFI sino seria para RFI
Correcion 4: El codigo que comenta Psymera que es para RFI pero tambien viene en muchos LFI por lo que solamente incluire un pequeño ejemplo de lo que el comenta en el tuto

Bueno he terminado espero que les haya gustado he mostrado algunos metodos con los que pudiesen obtener datos importantes o obtener incluso una shell... salu2

Ya que todos estan reportando para el team underc0de espero ayudar je



XSS

web: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
vector: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
reportado: No

espero lo reporte antrax para el team salu2

Shell utilizada: BOOF 1.0

Conocimientos necesarios:
Vulnerabilidades (Para subir la shell)
netcat (para escuchar las conexiones)

Bueno el siguiente tutorial es corto y solo con fines educativos (A muchos se les hara basico pero a otros les puede servir)
Para que les sea mas facil lo hare por pasos
Antes que nada decir que backconnect es que una pc se conecte a ti

1.- Tener la shell upload

2.- Ir a la pestaña [ Network ]

3.- Abres la terminal y pones: nc -vv -l -p 31337  en pocas palabras que escuche todas las conexiones por el puerto 31337



4.- Back-connect [perl] <-- tiene dos opciones Server: tu ip Port: el puerto que estas escuchando



5.- dar click en >> e ir a tu terminal y empezar a ejecutar comandos



Salu2

ese video es bueno  

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Miren me descargue metasploit desde la pagina You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ( creo que es la oficial ) y cuando lo estoy instalando avast! me detecta un virus. Me pueden decir si el programa es asín o no debería tener ningún virus.
Un saludo y gracias de antemano.

jaja desactiva el av obviamente te lo va detectar contiene exploits que son para explotar y los avs lo detectan como virus xD

excelente aporte

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
$$ = /(\S+@\S+\.\S+)/ie

Entonce quedara así:

$resultado= preg_replace($ss,"str_rot13('$1')", $correo);
$resultado= preg_replace("/(\S+@\S+\.\S+)/ie","str_rot13('$1')", $correo);

$i, hace referencia al paréntesis del patrón (el primer parámetro, la regex).

Saludos.

muchas gracias bro