Banner 1

EJECUTANDO CÓDIGO PHP DESDE UN ARCHIVO GIF

Publicado por Unknown en 11:58 domingo, 22 de noviembre de 2009 Etiquetas: , ,
A veces sucede, que en determinados sitios nos permiten subir imágenes pero no se nos permite subir archivos php, porque eso permitiría meterles una shell.

Pues bien, dependiendo de cómo manejen el archivo de la imagen, es posible que lleguen a ejecutar nuestro código ...

El procedimiento vale para, en principio, cualquier tipo de archivo, sea .gif, .jpeg, ...

(1) bajamos cualquier imagen
(2) la abrimos con un editor, por ejemplo notepad
(3) al final del archivo, pegamos el código php separado por un ; (ver imagen)



Suponiendo que el código php incluya imágenes usando include(), require(), include_once(), ... nuestro código será ejecutado y podremos acceder al archivo backdoor.php.

Otra cosa interesante a tener en cuenta es que la imagen se previsualiza correctamente, con lo que un usuario normal jamás sospechará nada.

En todo caso, merece la pena intentarlo, aunque normalmente no vaya a funcionar.

Saludos y hasta pronto.


Referencias (22/10/09):

milw0rm-video1.
milw0rm-video2.

FUENTE:http://hacking-avanzado.blogspot.com/2009/10/pen-testing-ejecutando-codigo-php-desde.html

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay