Soft LFIFucker - Ищем сайты по гугл доркам и тестируем на наличие LFI.

Ruby

Ruby

Member
16.07.2019
7
25
Всем привет. Хочу представить свой авторский софт, знаю что LFI-уязвимости уже сто лет в обед, но всё же до сих пор встречаются немало веб-ресурсов на просторах интернета с наличием этой дыры. Прошу строго не судить, баги и недочёты есть, исправим :)

31657


Итак, краткое описание самой уязвимости:
LFI - это возможность использования и выполнения локальных файлов на серверной стороне. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к произвольным файлам на сервере, в том числе содержащую конфиденциальную информацию.
Что конкретно умеет софт:
  • Ищет гугл дорки с помощью Google CSE(Custom Search Engine).
  • Фильтрует найденые сайты.
  • В многопоточном режиме сканирует сайты на предмет наличия уязвимости по заданным шаблонам.
  • Также есть возможность указать свой список сайтов.
  • Использование SOCKS5 проксей.
Теперь разберёмся как юзать тулзу.

31659


Первым делом клоним репозиторий и переходим в папку с ним.

> git clone https://github.com/madRubyroid/LFIFucker.git
> cd LFIFucker/

Теперь надо прописать в конфиге API-ключ для search engine и CSE-CX.
Для этого переходим по этой . Мы попадаем в CSE Home.

31664


Далее нужно добавить новую поисковую систему. Нажимаем Добавить.

31665


Указываем сайты, на которых будет выполняться поиск и название системы. Создаем.
Окей, переходим в Панель управления и копируем Идентификатор поисковой системы(CSE-CX).

31666
Переходим в и создаем проект, после переходим в раздел и ищем Custom Search API.

31668


Нажимаем Включить, и переходим в раздел Учетные данные.
Нам нужно либо сгенерить новый API-ключ, либо использовать те, которые автосгенерились, это не принципиально.
Соответственно, либо копируем один из трёх уже существующих ключей:

31670


Либо выбираем Создать учетные данные > Ключ API.
Последний этап настройки: прописать этих два значения в конфиг файлик lfi.conf

Код:
#############-LFIFucker configuration file-###############

GOOGLE_API_KEY=<YOUR-API-KEY>
GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>
Так, настройка завершена, можно пробовать :)
Чтобы запустить поиск сайтов, допустим, по доркам id= q= p= act=, и сканирование по дефолтному шаблону, вводим эту команду

> ./LFIFucker.sh --dork-query id=,q=,p=,act=

Сейчас тулза найдёт сайты по вышеуказанным доркам, отфильтрует их и в 6 потоков будет делать запрос по шаблону.
Результаты сохраняются в tmp директории.

Код:
RLFIFucker$ ls tmp/
16072019_142800_lfi_vulnerable.log
Указание списка ссылок для проверки на уязвимость, без использование CSE и с указанием вашего списка шаблонов:

> ./LFIFucker --sites sites.txt --patterns patterns.list

Как вы могли уже заметить, тулза на bash, но часть на python. Почему так? Да потому что это было чисто по-фану, в принципе я не планировал показывать в люди эту скромную софтинку :)
Функционал будет мной еще допиливаться, есть идеи прикрутить еще RFI(Remote File Inclusion), но пока имеем что имеем.
Если есть смысл и те, кому будет интересно более подробно разобрать LFI/RFI, в будушем я напишу статью по этой теме.

На этом пока всё.
 
Последнее редактирование:
G

GSLLL

Member
15.05.2019
5
2
Хотелось бы, если можно, примеры использования подробней.
 
Р

Ринат 13

New member
04.06.2019
1
0
А про заливщик шеллов статью ?
 
c0mb0

c0mb0

Well-known member
02.10.2018
48
16
Так, стоп, а разве в кастом серч гугловом отрабатывает такая тема как *.com? ох лол, благодарочка тебе
И да, настраиваю по ссылке
клауд консоль слишком заумная для меня
 
Последнее редактирование:
Ruby

Ruby

Member
16.07.2019
7
25
Так, стоп, а разве в кастом серч гугловом отрабатывает такая тема как *.com? ох лол, благодарочка тебе
И да, настраиваю по ссылке
клауд консоль слишком заумная для меня
Это и есть клауд консоль)
 
c0mb0

c0mb0

Well-known member
02.10.2018
48
16
Это и есть клауд консоль)
не там ссылка немного другая, может типа старая версия интерфейса, хотя хз... вот еще для обзора автору, сервис alert google, короче позволяет создавать rss по свежим ссылкам в гугловыдаче, пример - пишем bitcoin, получаем самообновляемый, актуальный на данный момент рсс, грабим данный рсс и льем в телеграм, профит - самонаполняемый контентом канал, пытался туда залить дорки, типа чтоб сразу на мыло отстукивало свеже собранные гуглороботом ссылки на сайты, но там ограничения по операторам в поиске, может кто че еще выжмет с сервиса. Такая тема работает:
site:codeby.net
inurl:id= купить абибас
+"adidas" +"You have an error in your SQL syntax"
 
Последнее редактирование:
  • Нравится
Реакции: msmind
M

masscontrolx

Active member
02.03.2018
41
8
гугл апи сделал, а это где брать? -> GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>
 
Melnik

Melnik

Member
04.08.2019
15
6
Ждём теперь примеры использования)
 
c0mb0

c0mb0

Well-known member
02.10.2018
48
16
Кстати гуд айдиа, изучаем сайт, получаем список сайтов на том же сервере, вбиваем список сайтов в кастом гугл серч, и можем ручками чекать дорки по данному листу, без капчи и с блекджеком, можно кучу таких приватных поисковиков замутить
 
C

Citizen0

Well-known member
07.02.2017
197
220
а что нужно написать в эти значения в файле...ключ апи есть что куда необходимо прописать не ясно.
Все же написано в стартовом посте
Последний этап настройки: прописать этих два значения в конфиг файлик lfi.conf
Код:
#############-LFIFucker configuration file-###############

GOOGLE_API_KEY=<YOUR-API-KEY>
GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>
Открываете указанный файл и меняете <YOUR-API-KEY> и <YOUR-ENGINE-CX> на свои данные.
 
Мы в соцсетях: