با سلام خدمت دوستان

در این پست قصد دارم برای دوستانی که با مبحث RFI مشکل دارند ، بصورت ساده و روان آشنا كنم .

باگ RFI ناشی از به کار بردن 4 تابع کارآمد به صورت ناشیانه به وجود می یاد که عبارتند از:

كد:

()include

()include_once

()require

()require_once

این توابع برای استفاده از فایل ها (به خصوص PHP) توی صفحه هست . مثلا می خوای بالای سایت یه چیزی نمایش داده بشه به جای اینکه هزار تا کد رو دوباره بنویسی بر میداری با این تابع او فایل رو صدا میزنی..... مانند تابع Call در ويژوال بيسيك

خوب این توابع یه بدی دارن اونم این که باید واسشون شرط تعیین بشه و گرنه میشه بهشون مقدار داد یعنی سوء استفاده کرد . زبان PHP که متغییر هاش رو از HTML میگیر به این صورت عمل میشه:

كد:www.x.com/file.php?variable=value

ببین این واسه کسایی می گم که وارد هستن تو HTML دو تا متد وجود داره یکی پست هست یکی get که تو عمل هیچ فرقی باهم ندارن ولی get برای فرا خوانی صفحات استفاده میشه و تو URL نشون داده میشه ولی توی post مقادیری که به متغیر ها میدم به صورت نامرئی ارسال مشه.

حالا می رسیم به اصل مطلب:

ببین شرطی که واسه include انتخاب میشه اغلب به صورت تابع Defined استفاده میشه

وقتی دیدید شرط تعیین نشده می تونی شل اسکريپت به عنوان متغییر به تابع include بدی تا تابع شل اسکریپت رو فراخوانی کنه.مثلا:

كد: www.site.com/news.php?moteghaer=ShellCode

دوستان عزيز براي اينكه مفهوم به شما برسونم دو تا فيلم آموزشي نحوه شل گرفتن از طريق اين باگ براوتن گذاشتم كه با ديدن فيلم آموزشي كامل اين نوع متد را ياد خواهيد گرفت.