entiendo mas o menos como es lo del RFI pero no estoy seguro en como deberia ir la respuesta... cuando dice:

se refiere a poner la "http://pagina/vulnerableRFI" o "http://pagina/vulnerableRFI="


:help: :help:

tu cual de las dos rutas crees que es vulnerable a un RFI? ......esta claro,no? :D,sino sabes me dices que te intento explicar mejor

no puedo, ya puse la respuesta, creo q esta bien...
mi duda es q dice
PD: solo necesito la ruta vulnerable,

se refiere a q no ponga http://etc
sino solo la ruta dentro del servidor?

la ruta entera con http:// incluido

perdon si abro de nuevo este post pero sobre este rfi la pagina no abre... es normal???

no te entiendo

pasado... :P no habia avisado

Hay que poner la direccion de un server atacante falso o solamente con la direccion que nos dan y el formato normal de un rfi es suficiente.... :eusa_think:
Gracias.


SaludOS.........:ninja:

El reto solo pide la url que debe quedar sin incluir tu script malicioso, es decir la url preparada para incluir el fichero.

Lee un poco algunos tutoriales que hay en esta misma web, échale un vistazo a los videos sobre RFI que hay en la sección seeit y estudia un poco las funciones que hacen posible esta vulnerabilidad tan conocida.

maldito RFI :( aver aver si entiendo i si no la riego preguntando esto

ok primero script ke te bajas se supone ke es de la pagina esa :S pero no usa el $_GET asi ke el include no entra por la barra de direccion :S o no entiendo waaaaaaaa :( ia leei musho de RFI i me dejan en las mismas ise mi script para estar aciendo i afuerzas tengo ke usar el $_GET asi

INCLUIDO POR POSKER :D
<?php
include($_GET["v1"]);
?>


DIRECCION > http://127.0.0.1/index.php?v1=http://www.google.com i funciona perfectamente

en el script ke bajo

<?php
$web_config_estatus_carg=1;

// *** Variables
$web_estado=1;
$web_estadoTabla="web_estatus";

include($menu_prin."web_estatus"); <------------- esto kedaria ?www.google.com.web_estatus :S
?>

una ayudita misericordia


U________________________________________U


TENGO KE ENTRA EN LA PAGINA KE ME DAN O ES SOLO PARA SUPONER???

Bueno, acabo de pasar este reto que esa ultrafácil. Pero no lo hagan si no
están prestando atención 100%, yo sé lo que les digo

El tema es fijarse bien que estén todos los componentes de la dirección
vulnerable y que sean los correctos (puede sonar obvio, pero revisen bien),
y tomar en cuenta lo que dice garcez unos mensajes más arriba:
hay que escribir la dirección pronta para recibir la URL del script malicioso.

Es decir, piénsenlo como si tuvieran que escribir la dirección vulnerable
para después copiar la dirección de su script de otra ventana del navegador
y pegarla al final de lo que ya tiene escrito.

Espero que ayude

Saludos
DM

pregunta tonta ...

yase la direccion vulnerable...


pero como empieso..


http://PAGINA/la ruta o

http://rfiseeandexploitit.net/laruta

nose si es por eso o en verdad esta mal la ruta jaja

Empieza con la última que dijiste, en el reto es claro, en esa página está el script vulnerable.
La respuesta es http://servidor/script?var_vulnerable, mas o menos así.
Saludos.

qué pasa con el servidor?? está caído?? eso parece..

No hay ningun servidor real , todo es ficticio solamente debes dejar como respuesta la url completa lista para escribir la ruta de tu servidor con la shell ...

Saludos...........

Hola jethorby,

Si lees muy bien el reto se especifica lo siguiente:

... PD: Solo necesito la ruta vulnerable. ...

En ningún momento se te pidió que nos des una ruta completa con todo el script malicioso a cargar hacia un servidor X (de donde sacaste que se tenia que ligar o cargar www.miservidor.com o www.servidor.org ¿xD?).
Por favor lee el enunciado detenidamente, con eso te sera suficiente para saber que poner de respuesta.

Saludos

Jejejeje, gracias g30rg3_x!!! Respuesta consisa y resolutiva!

Primer reto conseguido, jejeje!

Gracias!!