شرح ثغرة code execution

السلام عليكم و رحمة الله و تعالى و بركاته
أهلا أعضاء و زوار منتديات الحماية للأبد

اليم ان شاء الله سنشرح ثغرة

code execution

سنتطرق أولا الى الشكل البرمجي للثغرة

الدوال المصابة هي

  eval , fwrite , file_put_contents 

أولا مع الدالة eval

شكل الثغرة


eval($code);

و الاستغلال يكون هكذا في الرابط


http://localhost/file.php?code=echo php

أما بخصوص الثغرة الثانية و الثالثة

تكون هكذا



fwrite("file.txt",$code);




file_put_contents("file.txt",$code);


و الاستغلال يكون أنك تحقن الكود في الرابط مثل ما شفنا

ثم تستدعي الملف

هذا و أتمنى أن تكون قد وصلت الفكرة

موفقين شباب

الموضوع مهدى اليك

أنجكتور

مفيد ومختصر

تسلم

بارك الله فيك حبيبي
الف شكر تسلم اخي على
الموضوع

شكرا على الموضوع لكن عندي ملاحضة بسيطة
في حالتي الدالتين
fwrite
file_put_contents
يجب ان يحفض الملف بصيغة php و الا لن تشتغل الثغرة :slight_smile:

السلام عليكم
بارك الله فيكم على المرور