ASP Kod İnject Yardım
-
Arkadaşlar bir sitede bulduğum asp code injection açığıyla ilgili yardıma ihtiyacım var
http://www.hedef.com/deneme.asp sayfasında deneme="+response.write(3*3)+" post ettiğim zaman 9 veriyor bende
"+response.write(Server.MapPath("\"))+" post ettiğim zaman "C:\inetpub\deneme" diye sonuç veriyor.burdan daha ileri nasıl gidebilirim ?(örneğin dosya listeleme dir komutu)
-
Eve geçince bakayım. Fso ile dosyalarin içini gosterebiliriz.
-
ontedi bunu yazdıEve geçince bakayım. Fso ile dosyalarin içini gosterebiliriz.
bende exec xp_cmdshell kasıordum :D
-
Remote File Inclusion'ı araştırabilirsin hocam
-
Lightsaber bunu yazdı
Remote File Inclusion'ı araştırabilirsin hocam
RCE de olabilir ? Remote Code Execution ?
-
dostlar baktım da..exec,system kullanıyorum aldığım haata
Type mismatch: 'system'
-
Asp de nasıl kullanıyosun hocam exec ve system i onlar php de olur
-
Hocam şu kodu bir dene bakalım.
Set ObjFSO = Server.CreateObject("Scripting.FileSystemObject") Set arrDosyalar = ObjFSO.GetFolder(Server.MapPath("/")) For Each strDosya In arrDosyalar.Files strDosya_Yolu = "/" & strDosya.Name Response.Write "<br />Dosya adı: " & strDosya.Name Response.Write "<br />Dosya Boyutu: " & strDosya.size NEXT
Kodları denediğin zaman bulunduğu dizindeki dosyaları listeler.
-
Code injection var gibi duruyor fso ile dosya yazabilirsin sunucuya yada wscript mi ne vardi vektoru rce ye cevirebilirsin belki tabi bunlar hep vbscript
-
babayarisi bunu yazdı
Code injection var gibi duruyor fso ile dosya yazabilirsin sunucuya yada wscript mi ne vardi vektoru rce ye cevirebilirsin belki tabi bunlar hep vbscript
yukarıdaki kodu nasıl yollayabilirimki bir POST ile ..sanırım pes ediyorum :D
-
Zamanında zehir ve elmaşekeri vardı:) 15 yılı temiz var... o geldi aklıma