local file inclusion - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

local file inclusion

[Discussion] local file inclusion	31/12/2010 07:32:16 (+0700) \| #1 \| 228180

man cold
Member

Joined: 17/12/2010 10:20:56
Messages: 17
Offline

Hôm qua "dạo" nét bất chợt mình check lỗi của trang này:

http://123-articles.info/index.php?page=login'

Thì nó ra cái lỗi này:

Warning: include(login\'.php) [function.include]: failed to open stream: No such file or directory in /home/content/98/6986298/html/123-articles.info/index.php on line 33

Warning: include() [function.include]: Failed opening 'login\'.php' for inclusion (include_path='.:/usr/local/php5/lib/php') in /home/content/98/6986298/html/123-articles.info/index.php on line 33

.

Đầu tiên ta xác định đây là lỗi file inclusion. Vậy "attack" lỗi trên như thế nào? và "defense" ra sao?

[Discussion] local file inclusion	31/12/2010 07:49:34 (+0700) \| #2 \| 228181

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

man cold wrote:

Hôm qua "dạo" nét bất chợt mình check lỗi của trang này:

http://123-articles.info/index.php?page=login'

Thì nó ra cái lỗi này:

Warning: include(login\'.php) [function.include]: failed to open stream: No such file or directory in /home/content/98/6986298/html/123-articles.info/index.php on line 33

Warning: include() [function.include]: Failed opening 'login\'.php' for inclusion (include_path='.:/usr/local/php5/lib/php') in /home/content/98/6986298/html/123-articles.info/index.php on line 33

.

Đầu tiên ta xác định đây là lỗi file inclusion. Vậy "attack" lỗi trên như thế nào? và "defense" ra sao?

Include thì phải include cái gì dùng để attack chớ include một cái gì đó vô hại thì lấy gì tấn công? Còn phòng thì dùng một thứ như mod_security để lọc hết mấy cái ' ra khỏi request thì hết. Lọc nữa thì đọc cái này: http://php.net/manual/en/features.remote-files.php

What bringing us together is stronger than what pulling us apart.

[Discussion] local file inclusion	31/12/2010 19:05:06 (+0700) \| #3 \| 228260

man cold
Member

Joined: 17/12/2010 10:20:56
Messages: 17
Offline

Trong lập trình PHP có lệnh là include, require, require _ once, include _ once cho phép file hiện tại gọi đến một file khác.

Ví dụ đoạn mã PHP include file:

Code:

<?php
…
include("config.php");
…
?>

Vậy sẽ có khả năng include như trên.

[Discussion] local file inclusion	01/01/2011 19:59:23 (+0700) \| #4 \| 228380

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Hà hà ở trường hợp site này thì việc khai thác lỗi khá khó do nó bật magic_quote = on . Đố các bạn khai thác được với trường hợp magic_quote = on smilie

. Sau 3 reply có ý kiến đóng góp tui sẽ đưa ra một cách khai thác thú vị với trường hợp bị Local File Inclusion mà server bật Magic_quote = ON như trên smilie

Thân mến

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Discussion] local file inclusion	09/01/2011 16:38:53 (+0700) \| #5 \| 229062

soida
Member

Joined: 23/04/2010 21:29:17
Messages: 4
Offline

xnohat wrote:

Hà hà ở trường hợp site này thì việc khai thác lỗi khá khó do nó bật magic_quote = on . Đố các bạn khai thác được với trường hợp magic_quote = on . Sau 3 reply có ý kiến đóng góp tui sẽ đưa ra một cách khai thác thú vị với trường hợp bị Local File Inclusion mà server bật Magic_quote = ON như trên

Thân mến

Không ai trả lời hết, bác xnohat viết đi smilie

[Discussion] local file inclusion	09/01/2011 16:44:50 (+0700) \| #6 \| 229064

xmedia
Member

Joined: 08/01/2011 13:32:33
Messages: 6
Offline

soida wrote:

Không ai trả lời hết, bác xnohat viết đi

Đã có bài viết tại đây : /hvaonline/posts/list/37157.html

xmedia1806@yahoo.com

[Discussion] local file inclusion	09/01/2011 17:15:16 (+0700) \| #7 \| 229067

soida
Member

Joined: 23/04/2010 21:29:17
Messages: 4
Offline

xmedia wrote:

Đã có bài viết tại đây : /hvaonline/posts/list/37157.html

Dạ vâng ạ! Em xin cám ơn bác nhiều!
Ps: xin lỗi ban quản trị, em không cám ơn cũng không phải, mà viết thế này cũng không đúng. Mong diễn đàn sớm có nút "Cám ơn" ạ!

Go to:

Users currently in here
1 Anonymous