Salut,
Bon je vous presente mon premier tuto sur les les failles des formulaire d'upload d'image.
premierement ont va commencer par voire comment faire pour uploader un shell (c99-r75....).
Prennont un exemple,disont que l'attaquant veut uploader un shell sur un site d'upload
d'image,mais le problème c'est que l'ont ne peu pas uploader de fichier avec l'extesion .php ni .txt car il n'accepte que les extensions des images (gif/jpg...).
Alors il faut être plus malin que lui ^ ^ .
Il y a beacoup de methodes, mais nous allons seulement en montrer deux.
[b:beeeb43464]Methode 1 : [/b:beeeb43464]
telecharger firefox
telecharger tamper Data
Trouver un site vulnerable (ex: www.imgups.com )
demarrer Tamper Data
start tamper Dat
puis faire uploader notre shell avec l'extesion .txt
apres un message apparait
clicker sur Tamper
changer application/octet-stream par image/gif puis fait ok et hop !
-- shell uploadé ! --
[b:beeeb43464]Methode 2 : [/b:beeeb43464]
C'est en faisent un upload mais cette fois par l'extension .php .
[u:beeeb43464]Exemple:[/u:beeeb43464] upload ton image comme ceci : shell.php 0%.gif
enfin, je vous expliquerais mieu c'est Methodes, et je compléterais ce post.
site qui ont etais attacké par ces méthodes :
http://www.fm11.net/crazy.php?tmp
http://www.fidtechnology.com/modlogan/
Des idees : Sur certains forum il est possible d'uploader des shell via le formulaire d'upload d'avatar
@++
Desoler pour les faute d'hotographe (Je ne suis pas francais ).