Soft LFISuite - Totally Automatic LFI Exploiter (+ Reverse Shell) and Scanner

vertigo1.png

Добрый день,Уважаемые Форумчане,Друзья,Коллеги и всегда ,Дорогие гости нашего форума.

Если ранее, когда-то ,не придавалось внимание,как мы знаем,уязвимостям LFI.
В настоящее время,такие уязвимости признаны одними из самых опасных.

Знакомимся и встречаем инструмент,который позволяет сразу просканировать ресурс.
Эксплуатация и различные вариации атак также входят в функционал его возможностей.
Автором его является знаменитый и скромный D35m0nd142.
Скромным считаю его,т.к. инструмент ,по праву можно причислить к Framework своего рода.

Он полностью автоматизирован и функционал его достойный :

Automatic Configuration
Automatic Update
Provides 8 different Local File Inclusion attack modalities:

> /proc/self/environ
> php://filter
> php://input
> /proc/self/fd
> access log
> phpinfo
> data://
> expect://

vertigo2.png


Кроме того,поддерживает Tor proxy ,Reverse Shell для Windows, Linux OS
Позволяет работать с обратной оболочкой.

Зависимости:

Python 2.7.x
Python extra modules: termcolor, requests
socks.py

Работает в таких системах,как :Debian, Ubuntu, Fedora, Windows 10
От себя добавлю,что Arch Linux также подходит для работы с ним.

Устанавливаем и тестим.Первый запуск автор рекомендует произвести от имени суперпользователя.
Это позволит доустановить недостающие модули в систему,на случай их отсуствия.
В случае ошибок,рекомендуется выполнить их установку вручную.

Код: 
# git clone https://github.com/D35m0nd142/LFISuite.git
# cd LFISuite/
# chmod +x lfisuite.py
# python lfisuite.py
# python2 lfisuite.py - это команда запуска на Arch Linux

Далее,инструмент нас спросит,будем ли мы работать через tor proxy.
Предлагает сканирование объекта,либо составление конкретного запроса.

Думаю,что многим он приглянётся,добавляю также авторское видео для более плотной полноты представления возможностей.

И на этом,вас благодарю за уделённое время и внимание ,спасибо ,что вы с нами и до новых встреч.

 
  • Нравится
Реакции: Markus345, explorer, Tihon49 и ещё 15
Нажмите, чтобы раскрыть...
К сожалению, он не запустился у меня. Я не стал дебажить (python -mpdb), пока нет времени.
Запускал под debian.
 
yvv4recon сказал(а):
К сожалению, он не запустился у меня. Запускал под debian.
Нажмите, чтобы раскрыть...
Попробуйте указать ему запуск через python2 Для Debian это тоже применимо.
Конфигурация инструмента также настроена на обязательное указание пакета python и вывод ошибки при попытке запустить так :# . /lfisuite.py
Если это не поможет,то удалить,обновить систему и заново установить LFIsuite
 
Да, действительно. А всему виной моя невнимательность и лень. Хочется, чтобы инструмент работал из коробки, не вдумываясь.
 
  • Нравится
Реакции: Tihon49
как исправить? система обновленна
HTML: 
:[COLOR=rgb(184, 49, 47)]~[/COLOR]/pent$ git clone https://github.com/D35m0nd142/LFISuite.git
Клонирование в «LFISuite»…
remote: Enumerating objects: 247, done.
remote: Total 247 (delta 0), reused 0 (delta 0), pack-reused 247
Получение объектов: 100% (247/247), 354.68 KiB | 288.00 KiB/s, готово.
Определение изменений: 100% (144/144), готово.
[COLOR=rgb(184, 49, 47)]xz@xz:~[/COLOR]/pent$ cd LFISuite/
[COLOR=rgb(184, 49, 47)]xz@xz:~[/COLOR]/pent/LFISuite$ chmod +x lfisuite.py
[COLOR=rgb(184, 49, 47)]xz@xz:~[/COLOR]/pent/LFISuite$ python lfisuite.py
Requirement already up-to-date: pip in /usr/local/lib/python3.6/dist-packages (18.1)

[*] Installing module 'termcolor'
Requirement already satisfied: termcolor in /usr/lib/python3/dist-packages (1.1.0)
Traceback (most recent call last):
  File "lfisuite.py", line 68, in <module>
    from termcolor import colored
ImportError: No module named termcolor
[COLOR=rgb(184, 49, 47)]xz@xz:~[/COLOR]/pent/LFISuite$ python2 lfisuite.py
Requirement already up-to-date: pip in /usr/local/lib/python3.6/dist-packages (18.1)

[*] Installing module 'termcolor'
Requirement already satisfied: termcolor in /usr/lib/python3/dist-packages (1.1.0)
Traceback (most recent call last):
  File "lfisuite.py", line 68, in <module>
    from termcolor import colored
ImportError: No module named termcolor
[COLOR=rgb(184, 49, 47)]xz@xz:~[/COLOR]/pent/LFISuite$ python3 lfisuite.py
  File "lfisuite.py", line 27
    print "[!] pipper not found in the current directory.. Downloading pipper.."
                                                                               ^
SyntaxError: Missing parentheses in call to 'print'. Did you mean print("[!] pipper not found in the current directory.. Downloading pipper..")?
 
masscontrolx сказал(а):
как исправить?
Нажмите, чтобы раскрыть...
Код: 
# apt-get install python-pip
# pip install termcolor
Или, вместо второй команды,можно так:
Код: 
# apt-get install python-termcolor
Такие пакеты тоже в будущем пригодятся:
Код: 
# apt-get nstall python2-pip
# apt-get install python3-pip
# apt-get install python2-termcolor
# apt-get install python3-termcolor
Для Arch Linux , конкретно для данной утилиты:
Код: 
# pacman -S python-pip
# pacman -S python2-pip
# pacman -S python-termcolor
# pacman -S python2-termcolor
 
  • Нравится
Реакции: masscontrolx
Спасибо, в новой кали у меня этого не хватало:
Код: 
# apt install python-termcolor
Снимок экрана от 2018-12-01 19-53-10.png
 
  • Нравится
Реакции: Vertigo
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ