lfi

  1. W

    Нужно создать zip для для запуска полезной нагрузки

    Всем привет! Нужно создать zip архив с папкой и файлом внутри спрятанный в картинке таким образом что бы он сработал при запуски через wrapper zip:// Возможно?
  2. QuietMoth1

    CTF Тернистый путь от LFI до RCE. HackTheBox Pikaboo Hard!

    Приветствую! Предисловие Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём Hard машину Pikaboo, найдём способы эксплуатации LFI до RCE с помощью логов, ну что же, приступим! ;) Данные: Задача: Скомпрометировать машину на Linux и взять два флага user.txt и...
  3. D

    Сайт на php5.6

    Доброго времени суток. Сразу говорю, с пхп - знаком плохо. Есть старый сайт на пхп 5,6 или меньше, но на 5.6-работает. Сайт часто взламывался через "kcfinder" + возможно были еще дыры. Залиты были шелы. Насколько мог удалил. Перенес его на выделенный сервер (пришлось поставить там пхп 5,6). И...
  4. Linnni

    Вшить shell в PNG в блок IDAT

    Есть данная статья Encoding Web Shells in PNG IDAT chunks | Application Security , там приведён код как вшить в IDAT чанк php код. Но этот код работает только для изображений до 49х49 размера. Нужно как то вшить shell в картинку большего размера, хотябы 60x60 впринципе подойдёт тот же...
  5. Vertigo

    Статья Эксплуатация CVE-2020-5902

    Приветствую Уважаемых Форумчан,Друзей и Читателей Форума. Сегодня поговорим про уязвимость CVE-2020-5902. Найдём уязвимую машину и проэксплуатируем данную уязвимость на конкретном примере. Михаил Ключников обнаружил свежую уязвимость, которая сразу же была отмечена как критическая. Был...
  6. P

    Неполная LFI

    Привет, буду краток и информативен. Сервер: PHP 5.2.x, MySQL, Apache 2.x, cPanel&WHM 11.5, CentOS 6, под CloudFlare allow_url_fopen = On allow_url_include = Off Имеется на сервере LFI (она же Path Traversal) Домашний каталог не дает читать, кроме файла .htaccess и некоторых css и jpg (jpeg)...
  7. Vertigo

    Конкурс Эксплуатация уязвимостей LFI RFI RCE и обход комплексов безопасности.

    Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение Приветствую Уважаемых Форумчан и Друзей. Статья помечена как конкурсная не только для того,чтобы новички представили разнообразие пентеста. А для вызова интереса и поддержки к участию в конкурсах. Прошу Вас не...
  8. Vertigo

    Soft Crascan .Поиск уязвимостей LFI,RCE,RFI на тестовом ресурсе.

    Добрый день,Уважаемые Друзья и Форумчане. Данный софт был создан автором Arya Narotama. Crascan предназначен для нахождения у ресурсов следующих уязвимостей: LFI,RFI,RCE. Он может искать админ-панели и интересные файлы. И также обнаруживает Joomla Components и возможные Shell-backdoor...
  9. Vertigo

    Soft Eazy framework

    Приветствую Уважаемых Форумчан и Друзей. Возможно кому будет интересен framework от Devcrax В нём аккумулированы многие интересные инструменты для сбора информации и пентеста. Поиск уязвимостей SQL по доркам. Поиск XSS уязмивомости. Тестирование ресурса на наличие уязвимости LFI Имеется...
  10. M

    Проблема lfi уязвимость

    Мне знакомый подогнал сайт с lfi уязвимостью и fpd, сказал что для lfi нужен обход. Я шаманил пытался раскрутить и ничего не вышло. Есть тут знающие люди которые смогут мне помочь?
  11. Vertigo

    Soft LFISuite - Totally Automatic LFI Exploiter (+ Reverse Shell) and Scanner

    Добрый день,Уважаемые Форумчане,Друзья,Коллеги и всегда ,Дорогие гости нашего форума. Если ранее, когда-то ,не придавалось внимание,как мы знаем,уязвимостям LFI. В настоящее время,такие уязвимости признаны одними из самых опасных. Знакомимся и встречаем инструмент,который позволяет сразу...