tecnicas hacking
Páginas: 27 (6731 palabras)
Publicado: 31 de marzo de 2014
1
Hackeando Webs:
Remote File Inclusion
¡¡Enlazando con el diablo…!!
POR
HENRIQUE A.G (NeTTinG)
2.- Entrando en teoría… La vulnerabilidad:
La vulnerabilidad que vamos a estudiar en el presente artículo es conocida como Remote
File Inclusión, que viene a ser Inclusión Remota de Archivos en perfecto castellano.
Esta técnica, solo podrá ser implementada en páginas dinámicas en PHP,para nada podrá
ser implementado en páginas programadas en ASP, o otros lenguajes similares que no
permitan la inclusión de archivos ajenos al servidor.
Como su nombre indica, esta técnica nos permite enlazar remotamente archivos que estén
alojados en otros servidores. Dándonos la posibilidad de ejecutar comandos remotamente
en dicho servidor, entre otras muchas posibilidades que ya veremos,tiempo al tiempo d;b.
Aunque, siendo un poco más técnico, la verdad es que el servidor vulnerable no ejecuta
páginas dinámicas en PHP que no estén alojadas en su disco duro. Pero ya veremos en la
práctica como podemos contrarrestar esto, de nuevo, tiempo al tiempo :)
Para poder realizar un “ataque” de Remote File Inclusion es necesario que la página
dinámica programada en PHP este mal programaday que contenga la etiqueta include.
De nuevo, otra vez más, todo esto lo veremos en la práctica, por ahora tan solo quiero que
tengáis unos conocimientos teóricos para saber en que consiste el ataque o técnica, o como
quieras llamarle, aquí todo al gusto del consumidor.
La etiqueta o función include en PHP, (resumiendo lo máximo posible) sirve para incluir
dentro de una misma página variasotras páginas que contenga una serie de código que nos
interesa usar para dicha página, entre otras posibilidades.
Como creo que no me he explicado lo mejor posible, pongamos un ejemplo:
2
Imagínate que estas creando una página web para una compañía, pongamos por caso, que
esa compañía es un banco.
Imagínate que la compañía te exige, aparte de una buena imagen, facilidad y otrascaracterísticas que la página este enlazada con una base de datos, para que los usuarios de
dicha compañía bancaria puedan acceder a la web y dentro de ella observar como va su
economía.
Imagínate (si, ya se que soy pesado, pero la imaginación es buena) que eres de esos
programadoras buenísimos que tiene más títulos que papeles hay en una papelería. Y que
controlas al máximo la programación…Imagina que cuando estas construyendo la web, descubres que es necesario introducir en
todas las páginas un mismo código que cree la conexión con la base de datos. Entonces te
das cuenta que tienes dos posibilidades (vale, vale, que puede a ver más, pero es para no
salirnos del tema), crear en todas las páginas la conexión a la base de datos, caso que
terminas rechazando por el numeroso trabajo ypor el gran abuso de código repetitivo que
debes introducir en todas las páginas, y por otros muchos motivos más.
La segunda posibilidad, consiste en crear tan solo una página donde tan solo se encuentre el
código que provoque la conexión con la base de datos y mediante la función include incluir
esta página a todas las otras páginas que necesiten la conexión a la base de datos. Vamos,
que teahorras el trabajo de tener que poner el mismo código fuente en unas bastantes
páginas :).
Tranquilo, no te enfades si no entiendes lo que acabo de explicar, no pienses que eres poco
inteligente o que no tienes los conocimientos suficientes… yo en mi opinión soy de los que
opinan que si no entendemos algo que nos intentan explicar por medio de un artículo, como
es este caso, no es porqueseamos poco inteligentes o no tengamos ni idea del tema… en mi
opinión el autor es quien tiene la culpa, por no explicarlo como debería… Algunos os
estaréis preguntando a que viene esto ahora, la verdad es que no viene a cuento de nada,
pero… a ver quien es el jefazo que no se ha encontrado alguna que otra vez con algún texto
incomprensible que ha provocado que te arranques los pelos de la cabeza...
Hackeando Webs:
Remote File Inclusion
¡¡Enlazando con el diablo…!!
POR
HENRIQUE A.G (NeTTinG)
2.- Entrando en teoría… La vulnerabilidad:
La vulnerabilidad que vamos a estudiar en el presente artículo es conocida como Remote
File Inclusión, que viene a ser Inclusión Remota de Archivos en perfecto castellano.
Esta técnica, solo podrá ser implementada en páginas dinámicas en PHP,para nada podrá
ser implementado en páginas programadas en ASP, o otros lenguajes similares que no
permitan la inclusión de archivos ajenos al servidor.
Como su nombre indica, esta técnica nos permite enlazar remotamente archivos que estén
alojados en otros servidores. Dándonos la posibilidad de ejecutar comandos remotamente
en dicho servidor, entre otras muchas posibilidades que ya veremos,tiempo al tiempo d;b.
Aunque, siendo un poco más técnico, la verdad es que el servidor vulnerable no ejecuta
páginas dinámicas en PHP que no estén alojadas en su disco duro. Pero ya veremos en la
práctica como podemos contrarrestar esto, de nuevo, tiempo al tiempo :)
Para poder realizar un “ataque” de Remote File Inclusion es necesario que la página
dinámica programada en PHP este mal programaday que contenga la etiqueta include.
De nuevo, otra vez más, todo esto lo veremos en la práctica, por ahora tan solo quiero que
tengáis unos conocimientos teóricos para saber en que consiste el ataque o técnica, o como
quieras llamarle, aquí todo al gusto del consumidor.
La etiqueta o función include en PHP, (resumiendo lo máximo posible) sirve para incluir
dentro de una misma página variasotras páginas que contenga una serie de código que nos
interesa usar para dicha página, entre otras posibilidades.
Como creo que no me he explicado lo mejor posible, pongamos un ejemplo:
2
Imagínate que estas creando una página web para una compañía, pongamos por caso, que
esa compañía es un banco.
Imagínate que la compañía te exige, aparte de una buena imagen, facilidad y otrascaracterísticas que la página este enlazada con una base de datos, para que los usuarios de
dicha compañía bancaria puedan acceder a la web y dentro de ella observar como va su
economía.
Imagínate (si, ya se que soy pesado, pero la imaginación es buena) que eres de esos
programadoras buenísimos que tiene más títulos que papeles hay en una papelería. Y que
controlas al máximo la programación…Imagina que cuando estas construyendo la web, descubres que es necesario introducir en
todas las páginas un mismo código que cree la conexión con la base de datos. Entonces te
das cuenta que tienes dos posibilidades (vale, vale, que puede a ver más, pero es para no
salirnos del tema), crear en todas las páginas la conexión a la base de datos, caso que
terminas rechazando por el numeroso trabajo ypor el gran abuso de código repetitivo que
debes introducir en todas las páginas, y por otros muchos motivos más.
La segunda posibilidad, consiste en crear tan solo una página donde tan solo se encuentre el
código que provoque la conexión con la base de datos y mediante la función include incluir
esta página a todas las otras páginas que necesiten la conexión a la base de datos. Vamos,
que teahorras el trabajo de tener que poner el mismo código fuente en unas bastantes
páginas :).
Tranquilo, no te enfades si no entiendes lo que acabo de explicar, no pienses que eres poco
inteligente o que no tienes los conocimientos suficientes… yo en mi opinión soy de los que
opinan que si no entendemos algo que nos intentan explicar por medio de un artículo, como
es este caso, no es porqueseamos poco inteligentes o no tengamos ni idea del tema… en mi
opinión el autor es quien tiene la culpa, por no explicarlo como debería… Algunos os
estaréis preguntando a que viene esto ahora, la verdad es que no viene a cuento de nada,
pero… a ver quien es el jefazo que no se ha encontrado alguna que otra vez con algún texto
incomprensible que ha provocado que te arranques los pelos de la cabeza...
Leer documento completo
Regístrate para leer el documento completo.