Podstrony
- telcocafe
- ftp problem - pilne, pomocy!!! Mam problem z wejściem na mój serwer ftp
- Pliki *.exe na serwerze ftp Jak Uruchomić Pliki *.exe.....
- SSH na Windowsie Jak założyć serwer SSH na Windowsie
- [PHP][MYSQL][SERWER]Aktywacja biblioteki MySql Przez PhP
- Błąd z Serwerem reklam. Jakiś błąd.
- [FTP] Jak postawić serwer FTP ? + pytanie
- [HTML] Przekierowywanie na inny serwerJak w HTML
- Forum a SQLite Chce zalozyc forum ale serwer ...
- [sponsoring] Profesjonalny sponsoring serwerow wirtualnych
- Wysyłanie na serwer Co innego na dysku, co innego na servie.
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- kskarol.keep.pl
telcocafe
Witam! Czy jest jakiś sposób żeby wywołać (jakimś skryptem, programem?) listę plików znajdujących się na konkretnie określonym serwerze? Lub listę plików na danym koncie, na serwerze? To pytanie irytuje mnie już od dłuższego czasu... :blink:nie, jesli dany plik nie jest zalinkowany.
teoretycznie jest :)
praktycznie wlasciwie awykonalne :)
program/skrypt probuje pobrac link z kazdej mozliwej kombinacji liter/cyfr/kropek :)
a.a, a.b, a.c itp itd :)
Sami mozecie wyobrazic ile to kombinacji :P
Zasnanów się, co by było gdyby możliwy był podgląd folderów na dowolnym serwerze. Marzenie hakerów i dzieciaków - pseudohakerów...
Jeśli w danym folderze nie ma pliku index.html/index.php/index.htm itd,
to czasami serwer pokazuje taką listę plików ;-)
Napisałem czasami, gdyż to zależy już od serwa - niektóre z nich mają wyłączoną tę opcję
Możliwe jest w dwóch wypadkach
- administrator udostępnił tą funkcję
- administrator przypadkiem udostępnił tą funkcję (błędnie napisany skrypt etc)
Co nie zmienia faktu, że powinno to być niedostępne. A jeśli już jest to dla zachowania bezpieczeństwa należy stworzyć odpowiednie pliki index.php , index.htm
Inaczej. Sposób jest napewno. <_< Pytanie czy ktoś byłby tak miły i go udostępnił? Oczywiście tylko w celach edukacyjnych ^_^
Jeśli uda Ci się atak typu SQL Injection (czy coś takiego ;] ) to wprowadzasz do jakiegoś pliku php kod:
<? $dir=opendir('.'); while($plik=readdir($dir)) echo "$plik<br>"; ?>
później wchodzisz przez przeglądarke w ten plik i pojawia Ci się lista plików...
O to chodziło? :blink:
@down:
aaa no tak, to sie nazywało wstrzykniecie kodu php ;] sorry za pomyłkę !
Poza tym ten skrypt Ci nie zadziała... Po prostu wyświetli listę plików i/lub folderów z katalogu, w którym się plik PHP znajduje... A o to nie chodzi smile.gif
można łatwo przerobić w prostą przeglądarkę plików ...
chyba, że ktoś się nie zna na php
Użytkownik tsukuyomi_reload edytował ten post 04 grudzień 2006, 19:48
Że co proszę?! Od kiedy SQL Injection = uruchomienie jakiegoś pliku PHP? :>
Poza tym ten skrypt Ci nie zadziała... Po prostu wyświetli listę plików i/lub folderów z katalogu, w którym się plik PHP znajduje... A o to nie chodzi :)
Ja stwierdzam, że się jednak nie da... Bo XSS to client-side, SQL Injection odpada... Jest jakiś atak ze "wstrzyknięciem" kodu PHP? (Oprócz funkcji eval() :D)
//Bełdzio niech się tu wypowie, http://www.blog.cerio.pl mówi samo za siebie :)
Użytkownik pbnan edytował ten post 04 grudzień 2006, 19:50
teoretycznie jest :)
praktycznie wlasciwie awykonalne :)
program/skrypt probuje pobrac link z kazdej mozliwej kombinacji liter/cyfr/kropek :)
a.a, a.b, a.c itp itd :)
Sami mozecie wyobrazic ile to kombinacji :P
http://indir.uw-host.org/ - jest od kilku dni. metoda słownikowa i bruteforce do wyboru.