LiteSpeed Bypass 2017 Priv8 (1 Viewer)

[Meras]

özelden attigi mesaj ayyildiz.com

mardatonne tefankardo hırrime

 

[deleted-user]

mardatonne tefankardo hırrime

tefankardo yaziyor ya :d bilmeyen adama desen adam sanar kardeşim falan :d ama aslinda küfür mk

 

[Meras]

tefankardo yaziyor ya :d bilmeyen adama desen adam sanar kardeşim falan :d ama aslinda küfür mk

Sen nerden biliyosun zazacayı dj dikkatin mimiklerinden mi çıkardın

 

[deleted-user]

Sen nerden biliyosun zazacayı dj dikkatin mimiklerinden mi çıkardın

dj dikkat sayesinde zazaca ögrendim mk

 

[Rising]

Teşekkürler

 

[Sinyalci]

adam adam

 

[KinqDeep]

görelim

 

[Cr4sh-Sw1tch]

Biraz erken paylaşsaydın keşke

 

[Adapte]

Teşekkürler

 

[ZEUSCOBRA]

Yararlı Eline sağlık

 

[wolskey]

a

 

[Bhmn]

Teşekkürler

 

[Alper1453]

elin,e saglık

 

[Strivext]

mmm tranck you good job men

 

[fx7]

bir çok server tabi bunu kapattı ama hala geçerliliği var

 

[stylalar01]

thanks

 

[enjang]

sss

 

[DotX]

pre ile kapattıkları sanırım

 

[mstbro]

bakalım

 

[daty0009]

intresting

 

[k0rpeX]

eline sağlık

 

[volkan01]

ellerine sağlık

 

[zalimantuan]

eline sağlık başkan

 

[vec]

Eline Sağlık Ağabey

 

[Kirito1337]

Eyw.

 

[crunk]

bu acık kapatılmıs sanırım bu uyarıyı veriyor ..

sh: ./HEADER: Permission denied

 

[BLACKCaptain]

bu makale için teşekkür ederim

 

[hackersss]

lazım

 

[Rolesa]

Çok uzun zamandır herhangi bir hack eğitim video'su çekmedim bu yüzden videoda bazı amatörlükler vs olabilir şimdiden kusura bakmayın arkadaşlar. Yaklaşık 1 senedir sınırlı kişilerce bilinen LiteSpeed bypass yöntemini görsel olarak anlattım. Önce videoyu izleyin videodan sonra konuyu okumaya devam edin.
***Hidden content cannot be quoted.***
Kullandığımız HEADER dosyası nedir ? bu dosya Litepspeed serverda boş dizinleri listelemeye yarar , mesala örneğin http://www.spyhackerz.com/css/ bu klasör içindekileri size listelenmesini sağlayan litespeed içinde var olan dosyanın adıdır. Biz bu dosyayı istediğimiz dizine kendimiz yükleyip içine php kodumuzu ekleyip bu kritik açığın oluşmasını sağlıyoruz.

HEADER dosyasının yükleneceği klasörde index.php veya index.html olmayacaktır yoksa çalışmaz.

HEADER dosyasını ek olarak ekledim indirebilirsiniz.

dosyamızın içine kayıt ettiğimiz php kodumuz şöyleydi

<?php
echo file_get_contents('/etc/group');

Video'da izlediğiniz şekilde kodu değiştirip hedefinize ulaşabilirsiniz.



Şimdi gelelim bu açığın nasıl kapatıldığına tabiki sorumlu hackerlik anlayışıma göre bunun fix yönteminide paylaşacağım.

SSH'de aşağıdaki komutu gir

nano /usr/local/lsws/share/autoindex/default.php

230 ve 234. satırları aşağıdaki gibi değiştir.

echo file_get_contents( "$path$n");

Ayrıca Litespeed admin kontrol panelinde dizin listeleme ile ilgili bir bolum var o bölümden listeleme özelliğini kapatın , böylece açık tamamen fix edilmiş oluyor ve hiçbirşekilde hostlarınızda bu açık işlemiyor.

Not: file_get_contents nedir ? bizzat php sitesinden nedir ne işe yarar öğrenin
http://php.net/manual/tr/function.file-get-contents.php

ç

 

[Quaxer]

Teşekkürler