Soft LFIFucker - Ищем сайты по гугл доркам и тестируем на наличие LFI.

Всем привет. Хочу представить свой авторский софт, знаю что LFI-уязвимости уже сто лет в обед, но всё же до сих пор встречаются немало веб-ресурсов на просторах интернета с наличием этой дыры. Прошу строго не судить, баги и недочёты есть, исправим

Итак, краткое описание самой уязвимости:

LFI - это возможность использования и выполнения локальных файлов на серверной стороне. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к произвольным файлам на сервере, в том числе содержащую конфиденциальную информацию.

Что конкретно умеет софт:

• Ищет гугл дорки с помощью Google CSE(Custom Search Engine).
• Фильтрует найденые сайты.
• В многопоточном режиме сканирует сайты на предмет наличия уязвимости по заданным шаблонам.
• Также есть возможность указать свой список сайтов.
• Использование SOCKS5 проксей.

Теперь разберёмся как юзать тулзу.

Первым делом клоним репозиторий и переходим в папку с ним.

> git clone https://github.com/madRubyroid/LFIFucker.git
> cd LFIFucker/

Теперь надо прописать в конфиге API-ключ для search engine и CSE-CX.

Получение CSE-CX

Для этого переходим по этой

Ссылка скрыта от гостей

. Мы попадаем в CSE Home.

Далее нужно добавить новую поисковую систему. Нажимаем Добавить.

Указываем сайты, на которых будет выполняться поиск и название системы. Создаем.
Окей, переходим в Панель управления и копируем Идентификатор поисковой системы(CSE-CX).

Получение API-ключа

Переходим в

Ссылка скрыта от гостей

и создаем проект, после переходим в раздел

Ссылка скрыта от гостей

и ищем Custom Search API.

Нажимаем Включить, и переходим в раздел Учетные данные.
Нам нужно либо сгенерить новый API-ключ, либо использовать те, которые автосгенерились, это не принципиально.
Соответственно, либо копируем один из трёх уже существующих ключей:

Либо выбираем Создать учетные данные > Ключ API.

Последний этап настройки: прописать этих два значения в конфиг файлик lfi.conf

#############-LFIFucker configuration file-###############

GOOGLE_API_KEY=<YOUR-API-KEY>
GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>

Так, настройка завершена, можно пробовать
Чтобы запустить поиск сайтов, допустим, по доркам id= q= p= act=, и сканирование по дефолтному шаблону, вводим эту команду

> ./LFIFucker.sh --dork-query id=,q=,p=,act=

Сейчас тулза найдёт сайты по вышеуказанным доркам, отфильтрует их и в 6 потоков будет делать запрос по шаблону.
Результаты сохраняются в tmp директории.

RLFIFucker$ ls tmp/
16072019_142800_lfi_vulnerable.log

Указание списка ссылок для проверки на уязвимость, без использование CSE и с указанием вашего списка шаблонов:

> ./LFIFucker --sites sites.txt --patterns patterns.list

Как вы могли уже заметить, тулза на bash, но часть на python. Почему так? Да потому что это было чисто по-фану, в принципе я не планировал показывать в люди эту скромную софтинку
Функционал будет мной еще допиливаться, есть идеи прикрутить еще RFI(Remote File Inclusion), но пока имеем что имеем.
Если есть смысл и те, кому будет интересно более подробно разобрать LFI/RFI, в будушем я напишу статью по этой теме.

На этом пока всё.

 

[GSLLL]

Хотелось бы, если можно, примеры использования подробней.

 

[Ruby]

Хотелось бы, если можно, примеры использования подробней.

Конкретная практика будет уже в статье про сам LFI. Здесь пока просто описано что умеет тулза.

 

[Tihon49]

Конкретная практика будет уже в статье про сам LFI. Здесь пока просто описано что умеет тулза.

Тогда ждём статью!

 

[Ринат 13]

А про заливщик шеллов статью ?

 

[c0mb0]

Так, стоп, а разве в кастом серч гугловом отрабатывает такая тема как *.com? ох лол, благодарочка тебе
И да, настраиваю по ссылке

Ссылка скрыта от гостей

клауд консоль слишком заумная для меня

 

[Ruby]

Так, стоп, а разве в кастом серч гугловом отрабатывает такая тема как *.com? ох лол, благодарочка тебе
И да, настраиваю по ссылке

Ссылка скрыта от гостей

клауд консоль слишком заумная для меня

Это и есть клауд консоль)

 

[c0mb0]

Это и есть клауд консоль)

не там ссылка немного другая, может типа старая версия интерфейса, хотя хз... вот еще для обзора автору, сервис alert google, короче позволяет создавать rss по свежим ссылкам в гугловыдаче, пример - пишем bitcoin, получаем самообновляемый, актуальный на данный момент рсс, грабим данный рсс и льем в телеграм, профит - самонаполняемый контентом канал, пытался туда залить дорки, типа чтоб сразу на мыло отстукивало свеже собранные гуглороботом ссылки на сайты, но там ограничения по операторам в поиске, может кто че еще выжмет с сервиса. Такая тема работает:
site:codeby.net
inurl:id= купить абибас
+"adidas" +"You have an error in your SQL syntax"

 

[masscontrolx]

гугл апи сделал, а это где брать? -> GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>

 

[Citizen0]

а это где брать? -> GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>

Под спойлером "Получение CSE-CX"

 

[Ruby]

А про заливщик шеллов статью ?

Скоро будет продолжение темы эксплуатации LFI/RFI уязвимостей, думаю там опишу как можно залить шелл.

 

[Melnik]

Ждём теперь примеры использования)

 

[Ruby]

Ждём теперь примеры использования)

В скором времени сделаю)

 

[YGagarin]

Ждём теперь примеры использования)

Ап

 

[c0mb0]

Кстати гуд айдиа, изучаем сайт, получаем список сайтов на том же сервере, вбиваем список сайтов в кастом гугл серч, и можем ручками чекать дорки по данному листу, без капчи и с блекджеком, можно кучу таких приватных поисковиков замутить

 

[Elis]

Под спойлером "Получение CSE-CX"
Посмотреть вложение 32050

а что нужно написать в эти значения в файле...ключ апи есть что куда необходимо прописать не ясно.. напишите пожалуйста

 

[Citizen0]

а что нужно написать в эти значения в файле...ключ апи есть что куда необходимо прописать не ясно.

Все же написано в стартовом посте

Последний этап настройки: прописать этих два значения в конфиг файлик lfi.conf

#############-LFIFucker configuration file-###############

GOOGLE_API_KEY=<YOUR-API-KEY>
GOOGLE_ENGINE_CX=<YOUR-ENGINE-CX>

Открываете указанный файл и меняете <YOUR-API-KEY> и <YOUR-ENGINE-CX> на свои данные.