Mayıs 26, 2022
11 11 11 ÖÖ
2048 Old Game Privacy Policy
Scan Text – Metin Tarayıcı Terms & Conditions
Scan Text – Metin Tarayıcı Privacy Policy
Calculator – Hesap Makinesi Privacy Policy
Calculator – Hesap Makinesi Terms & Conditions
QR Code Reader – Kare Kod Okuyucu Terms & Conditions
QR Code Reader – Kare Kod Okuyucu Privacy Policy
Show PDF – PDF Görüntüleyici Terms & Conditions
Show PDF – PDF Görüntüleyici Privacy Policy
Photo Editor – Resim Düzenleme Uygulaması Terms & Conditions
Son Yazılar
2048 Old Game Privacy Policy Scan Text – Metin Tarayıcı Terms & Conditions Scan Text – Metin Tarayıcı Privacy Policy Calculator – Hesap Makinesi Privacy Policy Calculator – Hesap Makinesi Terms & Conditions QR Code Reader – Kare Kod Okuyucu Terms & Conditions QR Code Reader – Kare Kod Okuyucu Privacy Policy Show PDF – PDF Görüntüleyici Terms & Conditions Show PDF – PDF Görüntüleyici Privacy Policy Photo Editor – Resim Düzenleme Uygulaması Terms & Conditions
dvwa walkthrough

File Inclusion (Low Level)

Paylaşım , Takip İçin

File Inclusion Nedir ? 

File inclusion türkçe karşılığı dosya eklemedir . Site sunucusunda bulunan dosyaları görüntülemek ve eklemek için kullanılır . 

2 farklı zafiyetimiz mevcuttur . 

  • Local File Inclusion (LFI)
  • Remote File Inclusion (RFI)

Hemen LFI ile olaya başlayalım. 

Local File Inclusion

Linux sisteminde tutulan /etc dizini altındaki passwd gibi hassas bir dosyanın vb. diğer dosyaların içeriğini sitenin linkindeki parametre değerini değiştirerek sayfaya seçtirtip ekrana gösterebiliriz. Tabikide bunu güvenlik önlemi olmadığı zaman yapabiliyoruz.

Diğer önemli dizinleride deneyebilirsiniz .

  • /etc/issue
  • /etc/profile
  • /etc/passwd
  • /etc/shadow
  • /etc/hosts
  • /etc/sudoers
  • /etc/issue
  • /etc/mysql/my.cnf
  • /proc/cmdline
  • /root/.bash_history
  • /var/log/apache2/access.log
  • /var/log/dmessage
  • /var/mail/root
  • /var/spool/cron/crontabs/root
  • /var/www/dvwa/phpinfo.php
  • /var/www/dvwa/config/config.inc.php

Gördüğünüz gibi bir sorun çıkmadı fakat sorun çıkarsa alttaki işlemlerle kök dizine gitmemiz gerekicek .

fi                         ../
vulnerabilities            ../
dvwa                       ../
www                        ../
var                        ../

Böylece anlarız ki 5 tane ../ komutundan kullanırsak var’ın yer aldığı havuza, yani kök dizine ulaşırız. Eğer görüntülüyor olduğunuz sayfanın linkindeki page parametresine değer olarak 

../../../../../ eklersek aşşağıdaki gibi bir sayfa ile karşılaşırız . 

 

Böylece Local File Inclusion saldırısını gerçekleştirmiş oluruz . Edinilen kullanıcı bilgileri bir önceki anlattığımız konu olan Brute Force saldırılarında kullanılabilir ve böylelikle hedef web sitesine sızılabilir.

Remote File Inclusion

Remote File Inclusion Load File Inclusion ‘ dan farklı olarak dosya dahil edeceğiz . LFI de dosya dahil etmeyip sitenin kendi sunucusunda işlem yapıyorduk fakat bunda dosya dahil edeceğiz.

 


Paylaşım , Takip İçin
0 0 votes
Article Rating

Bir Cevap Yazın

0 Yorum
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x
HAYALİNDEKİ YAZILIM
%d blogcu bunu beğendi: