رتبها

م.راكان العنزي | Eng. Rakan Alanzi

7 تغريدة 183 قراءة Feb 21, 2021

شرايكم نسوي تطبيق عملي لعملية الإختراق بواسطة ثغرة Local File Include ونستفيد من هذي التجربة ؟
- ماهي ثغرة Local File Include = LFI ؟
- أشهر المواقع اللي تضررت من هذي الثغرة ؟
- سبب حدوث الثغرة ؟
- التطبيق العملي
- مراجع تساعدك في فهم الثغرة اكثر

- ماهي ثغرة Local File Include = LFI ؟
عشان تكتشف هذي الثغرة لازم يكون عندك خلفية بسيطة عن لغة PHP
تقدر من خلال هذي الثغرة توصل لجميع الملفات الحساسة في الموقع , ف مثلاً تقدر تحمل ملف config.php الخاص بالموقع وتعرف اسم المستخدم وكلمة المرور لقاعدة البيانات

- أشهر المواقع اللي تضررت من هذي الثغرة ؟
هذا الباحث الأمني أكتشف الثغرة في موقع الواتساب @Whatsapp وربح مبلغ 12,000 دولار , ما يعادل 45,000 ريال
ولو تلاحظون الردود في التغريده , الجميع يبارك له ويقول ( ربح سهل ) وهذا يعني ان الثغرة سهل إستغلالها وفهمها

سبب حدوث الثغرة ؟
دائماً اقول المبرمج يقدر يبدع في مجال الأمن السيبراني ويكتشف الثغرات بسهولة , و سبب حدوث الثغرة هذي هو كتابة الكود البرمجي PHP بطريقة غير سليمة ومحمية , هذي صورة توضيحية لسبب حدوث الثغرة :

من خلال الكود السابق , لو افترضنا ان اسم الملف index.php , راح نقدر نحمل هذا الملف بالطريقة التالية :
example.com
لو تلاحظ نهاية الرابط , طلبت تحميل ملف index.php و راح يتم تحميله وعرض السورس كود الخاص فيه

example.com/index.php?styl…

- التطبيق العملي
سويت لكم ملف مصاب بثغرة Local File Include
حاولو توصلون للـ Flag وهذا يعتبر تحدي CTF بسيط😉
c2x.info

c2x.info

- مراجع تساعدك في فهم الثغرة اكثر
netsparker.com
hackingminions.com

hackingminions.com/hacking/web-ha…

netsparker.com/blog/web-secur…

اتمنى فهمتوا لو شي بس بسيط 👏🏻👏🏻👏🏻👌✅🤍