domingo, 26 de junio de 2011

0verLFI: inyecta webshells en metadatos (JPEG)

Saludos,

Hoy he codeado esta pequeña y sencilla herramienta para meter webshells dentro de los metadatos de una imagen, sin alterar su visualización. Ideal para explotar LFIs, puesto que podrá pasar desapercibida como una imagen más (un avatar, archivo adjunto, etc.), totalmente inofensiva. Screenshot:




Aquí podemos ver como la imagen se mantiene en perfecto estado:



Y por último probandola en un entorno local vulnerable:




[Source de la Herramienta]
5 0verl0ad Labs: 0verLFI: inyecta webshells en metadatos (JPEG) Saludos, Hoy he codeado esta pequeña y sencilla herramienta para meter webshells dentro de los metadatos de una imagen, sin alterar su v...

3 comentarios:

isseu dijo...

em, como seria un entorno local vulnerable? hay que hacer un include()?

The X-C3LL dijo...

Saludos isseu,

Sí, efectivamente, para hacer la prueba usé un simple include($_GET['page']); .

Yo-Mismo dijo...

type webshell.php >> image.jpg

Salu2, gracias por el programa!

< >