LFI-Scanner

In diesem Video wird ein Tool vorgestellt, mit dem Sie Ihre Website nach einer möglichen LFI (Local File Inclusion) Schwachstelle absuchen können.

Link: https://youtu.be/IqdUT7eC8HM
Link: http://www.hackingtricks.in/2011/05/local-file-inclusion-vulnerability.html




25 Kommentare zu “LFI-Scanner”

  1. Das war ja klar, das das an diesem Parameter nicht funktioniert xD, die
    Beiträge werden bei WordPress ja in ner Datenbank gespeichert >.<, und nicht direkt in Dateien auf dem Dateisystem ...

  2. @MeBeBonkers Zum Beispiel definiert er am Anfang der Funktion scan_lfi alle
    Variablen, die in der Funktion gebraucht werden, oder auch nicht gebraucht
    werden … Und da meint der Autor das Skript sei ineffizient … Und
    anscheinend reden wir von verschiedenen URLs, ich schreibe Webseiten mit
    Python und da gibt es eigentlich nur virtuelle Domains, außer wenn man sich
    extra ein Apache damit programmiert … Und da sind die GET-Parameter
    hinter dem Fragezeichen, nämlich da, wo sie hinsollen.

  3. cool wärs noch wenn ihr nun eine demonstration auf einem zum beispiel sehr
    simpel eingerichteten apache zeigen könntet wie ein badboy das nun anwenden
    würde und über diese lücke eine “gotcha!”-Datei einschleust und evtl noch
    öffnen lassen kann mit diesem prinziep ohne sich noch auf anderem wege eine
    session öffnen zu müssen.

  4. Also so toll … ist das Skript wirklich nicht. Bin am verbessern davon …
    Der Quellcode ist eine Schande, um ehrlich zu sein. ;) Ich verstehe nicht,
    warum die Person nicht ein C-Programm geschrieben hat, das wäre deutlich
    schneller, und dann hätte der Autor _schönen_ Code produziert … Er hat C
    in Python ausgedrückt. ;) Und “SEO URLs”, wie der Autor sie nennt,
    unterstützt das Skript auch nicht… Ich nutze _nur_ solche URLs für meine
    Webseiten, da es coole URLs sind (so nennt das W3C die :)..

Schreibe einen Kommentar