Ekim 19, 2021
11 11 11 ÖÖ
TCP nedir ? Aktarım Katmanı 2
Aktarım Katmanı Tcp Nedir
Yönlendirme Nedir 2 ?
Yönlendirme Nedir ?
Ağ Katmanı Nedir 2 ?
Ağ Katmanı Nedir ?
Veri Bağı Katmanı Nedir 2 ?
Android Studio Nasıl Kurulur ?
Veri Bağı Katmanı Nedir ?
Fiziksel Katman Nedir ?
Son Yazılar
TCP nedir ? Aktarım Katmanı 2 Aktarım Katmanı Tcp Nedir Yönlendirme Nedir 2 ? Yönlendirme Nedir ? Ağ Katmanı Nedir 2 ? Ağ Katmanı Nedir ? Veri Bağı Katmanı Nedir 2 ? Android Studio Nasıl Kurulur ? Veri Bağı Katmanı Nedir ? Fiziksel Katman Nedir ?
dvwa walkthrough

File Inclusion (Low Level)

Paylaşım , Takip İçin

File Inclusion Nedir ? 

File inclusion türkçe karşılığı dosya eklemedir . Site sunucusunda bulunan dosyaları görüntülemek ve eklemek için kullanılır . 

2 farklı zafiyetimiz mevcuttur . 

  • Local File Inclusion (LFI)
  • Remote File Inclusion (RFI)

Hemen LFI ile olaya başlayalım. 

Local File Inclusion

Linux sisteminde tutulan /etc dizini altındaki passwd gibi hassas bir dosyanın vb. diğer dosyaların içeriğini sitenin linkindeki parametre değerini değiştirerek sayfaya seçtirtip ekrana gösterebiliriz. Tabikide bunu güvenlik önlemi olmadığı zaman yapabiliyoruz.

Diğer önemli dizinleride deneyebilirsiniz .

  • /etc/issue
  • /etc/profile
  • /etc/passwd
  • /etc/shadow
  • /etc/hosts
  • /etc/sudoers
  • /etc/issue
  • /etc/mysql/my.cnf
  • /proc/cmdline
  • /root/.bash_history
  • /var/log/apache2/access.log
  • /var/log/dmessage
  • /var/mail/root
  • /var/spool/cron/crontabs/root
  • /var/www/dvwa/phpinfo.php
  • /var/www/dvwa/config/config.inc.php

Gördüğünüz gibi bir sorun çıkmadı fakat sorun çıkarsa alttaki işlemlerle kök dizine gitmemiz gerekicek .

fi                         ../
vulnerabilities            ../
dvwa                       ../
www                        ../
var                        ../

Böylece anlarız ki 5 tane ../ komutundan kullanırsak var’ın yer aldığı havuza, yani kök dizine ulaşırız. Eğer görüntülüyor olduğunuz sayfanın linkindeki page parametresine değer olarak 

../../../../../ eklersek aşşağıdaki gibi bir sayfa ile karşılaşırız . 

 

Böylece Local File Inclusion saldırısını gerçekleştirmiş oluruz . Edinilen kullanıcı bilgileri bir önceki anlattığımız konu olan Brute Force saldırılarında kullanılabilir ve böylelikle hedef web sitesine sızılabilir.

Remote File Inclusion

Remote File Inclusion Load File Inclusion ‘ dan farklı olarak dosya dahil edeceğiz . LFI de dosya dahil etmeyip sitenin kendi sunucusunda işlem yapıyorduk fakat bunda dosya dahil edeceğiz.

 


Paylaşım , Takip İçin
0 0 votes
Article Rating

Bir Cevap Yazın

0 Yorum
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x
HAYALİNDEKİ YAZILIM
%d blogcu bunu beğendi: