entiendo mas o menos como es lo del RFI pero no estoy seguro en como deberia ir la respuesta... cuando dice:
tu cual de las dos rutas crees que es vulnerable a un RFI? ......esta claro,no? :D,sino sabes me dices que te intento explicar mejor
no puedo, ya puse la respuesta, creo q esta bien...
mi duda es q dice
PD: solo necesito la ruta vulnerable,
se refiere a q no ponga http://etc
sino solo la ruta dentro del servidor?
la ruta entera con http:// incluido
perdon si abro de nuevo este post pero sobre este rfi la pagina no abre... es normal???
no te entiendo
pasado... :P no habia avisado
Hay que poner la direccion de un server atacante falso o solamente con la direccion que nos dan y el formato normal de un rfi es suficiente.... :eusa_think:
Gracias.
SaludOS.........:ninja:
El reto solo pide la url que debe quedar sin incluir tu script malicioso, es decir la url preparada para incluir el fichero.
Lee un poco algunos tutoriales que hay en esta misma web, échale un vistazo a los videos sobre RFI que hay en la sección seeit y estudia un poco las funciones que hacen posible esta vulnerabilidad tan conocida.
maldito RFI :( aver aver si entiendo i si no la riego preguntando esto
ok primero script ke te bajas se supone ke es de la pagina esa :S pero no usa el $_GET asi ke el include no entra por la barra de direccion :S o no entiendo waaaaaaaa :( ia leei musho de RFI i me dejan en las mismas ise mi script para estar aciendo i afuerzas tengo ke usar el $_GET asi
INCLUIDO POR POSKER :D
<?php
include($_GET["v1"]);
?>
DIRECCION > http://127.0.0.1/index.php?v1=http://www.google.com i funciona perfectamente
en el script ke bajo
<?php
$web_config_estatus_carg=1;
// *** Variables
$web_estado=1;
$web_estadoTabla="web_estatus";
include($menu_prin."web_estatus"); <------------- esto kedaria ?www.google.com.web_estatus :S
?>
una ayudita misericordia
U________________________________________U
TENGO KE ENTRA EN LA PAGINA KE ME DAN O ES SOLO PARA SUPONER???
pregunta tonta ...
yase la direccion vulnerable...
pero como empieso..
http://PAGINA/la ruta o
http://rfiseeandexploitit.net/laruta
nose si es por eso o en verdad esta mal la ruta jaja
Empieza con la última que dijiste, en el reto es claro, en esa página está el script vulnerable.
La respuesta es http://servidor/script?var_vulnerable, mas o menos así.
Saludos.
qué pasa con el servidor?? está caído?? eso parece..
No hay ningun servidor real , todo es ficticio solamente debes dejar como respuesta la url completa lista para escribir la ruta de tu servidor con la shell ...
Saludos...........
Hola jethorby,
Si lees muy bien el reto se especifica lo siguiente:
... PD: Solo necesito la ruta vulnerable. ...
En ningún momento se te pidió que nos des una ruta completa con todo el script malicioso a cargar hacia un servidor X (de donde sacaste que se tenia que ligar o cargar www.miservidor.com o www.servidor.org ¿xD?).
Por favor lee el enunciado detenidamente, con eso te sera suficiente para saber que poner de respuesta.
Saludos