• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Pnf

ver o codigo fonte de um target

12 mensagens neste tópico

ola, alguem conhce alguma maneira/programa que deixe ver o código fonte de um ficheiro que é um target de uma Form? ASP ou PHP?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não dá, esse tipo de ficheiros são processados 1º no servidor, e o código ASP ou PHP que lá tenha não aparece.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

PHP e ASP, são Linguagens Server Side, ou seja estão alojadas no Servidor e arrancam por meio de outras linguagens como o HTML, necessitam de servidores específicos e não são fácilmente hackadas e é bastante difícil de fazer defacing a este tipo de páginas, mesmo para hackers experientes.

o Intuito do PHP ou do ASP é manter a privacidade do código fonte ao programador e principalmente em casos de basos de dados, manter a privacidade dos utilizadores.

Isto foi apenas uma explicação que até é capaz de não estar 100% correcta, mas tem o basico.  ;)

Cumps. Overrun

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

usa o getright... o getright consegue sacar o codigo fonte... cena marada mesmo

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

usa o getright... o getright consegue sacar o codigo fonte... cena marada mesmo

teckV

:eek:

o codigo da linguagem Server Side??

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
nepia, so saka o codigo do client-side (acho eu...)

se não sabes porque dizes que não dá^?

há uma cena marada com o getright que permite sacar o codigo fonte.. não sei se é bug se é de proposito e já não sou o unico a ter descoberto isso...

apesar de  ter descoberto esse exploit por mim ja vi outros tambem conhecem esse facto...

vejam esta apresentação do brazuca maradio... podem ver um demo com caputra video de um desltop onde ele mostra isso ao detalhe

http://www.btuga.info/viewthread.php?tid=97355&page=1pid1081096

uma coisa é certa... cuidado que isso fica nos logs como um ataque.. já confirmei que funciona... podem RIPAR sites inteiros e todos os ficheiros que estão no servidor..

usem a ultima versão do getright

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

hmm... eu com a trial version apenas consegui ver o index, mas se calhar é por ser trial...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
hmm... eu com a trial version apenas consegui ver o index, mas se calhar é por ser trial...

já viste o video que falei?? usas a versão 6* do getright?

que comentário engraçado... porque uns não conseguem quer dizer que não é possivel?? e o mais engraçado é... viste o source code do index ou o index interpretado pelo webserver?? é que se viste o index como source code é porque já viste esta técnica a funcionar e apenas não sabes usar o getright para ver a estrutura toda de um site e assim descarregar tudo... observa o video e vais ver como é...

eu não apresentava aqui uma técnica que não tinha expeimentado... right??? é algo qu etambem me deixou confuso e descobri sem querer... experimentei a funcionalidade de ver toda a estrutura de um site e fiquei louoco... não queria acreditar... até vi files executaveis que não deviam sequer aparecer... ficheiros de suporta à encriptação (sim.. sim... as keys... é a loucura total eu sei... mas o que posso dizer)... contineui a explorar a cena e acabei com uma "´replica" do site remoto no meu pc.... fuck... estavam no seu estaddo não interpetado, era como se tivesse feito uma  share à pasta e acedesse a eles por SMB e não por HTTP...

o getright tem uma coisa que é a capacidade de "analisar" a estrutura de um site para "facilitar" os downloads... supostamente isto ofoi desenvolvido com os downloads normais de ficheiros (não o codigo fonte) como videos e etc... o gajo desenvolveu depois a possibilidade de ripar (automatizar o download de todos os ficheiros de um site) penso que com o objectivo de poderes sacar logo o files todos numa pasta http... ele desenvolveu uma técnica muito boa de download e acredito que como "dano colateral" essa técnica permite scar os ficheiros em código fonte... o getright tem um sisteme qualquer de tratar os ficheiros todos da mesma forma como streams de bits... não sei como o faz (ainda, estou a estudar a coisa) mas ele trata os ficheiros de scripts (asp, php, etc) como ficheiros binários normais e descarrega o ficheiro em vez de fazer um pedido GET normal ao webserver que faz com que os ficheiros de scripts sejam interpetados pelo web server e seja retornado para o browser o resultado (o html que é criado no processamento do script)

é obvio que isto não é uma técnia que eu considere "cracking"... isto é um exemplo profundo de sript kidding... pa... ma funciona e quando outrass técnicas (exploits) estão fechadas... ou se precisam urgentemente de uma coisita e não têm tempo para técnicas mais... you know... somtething to have in the pocket....

experimentem a usar o ethereal para analisar ass comunicações que o getright faz e tentem perceber melhor esta técnica... suspeito que sm quere foi encontrada uma importante vulnerabilidade na forma dos webservers processarem os ficheiros de scripting...

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tipo então eu posso sacar o site completo do jogo thecrims.com (PHP) e criar o meu jogo igualzinho ao deles sem ter trabalho nenhum ?

Também posso sacar o site completo da microsoft.com ?

É bom demais para ser verdade..  :(

EDIT: teckV já sacaste algum site completo com esse programa ? :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

@teckV: pa, mas o ke tu dizes com get right, nao saka o codigo mesmo, tipo o echo, o if, e outros...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora