Gracias Tarmo ^^

Saludos

Ja ja ja ja ja si lo habias dicho 3hy y gracias de nuevo


Saludos

Quien hizo el video de LFI+SQLi? No entiendo el ataque que inserta php en el archivo proc/self/environ, no se supone que ese archivo solo te muestra tus datos a ti? entonces como ejecutas código php si este se ejecuta en el servidor y no en el navegador? 

Gracias Rock

Miyamoto por eso se llama LFI(Local file inclusion)


Saludos

Ya se lo que es el LFI xD, lo que no entiendo es como carga codigo php en el servidor, ese archivo envia código al navegador, entonces: como puede ejecutar código php si no lo almacena en el archivo?
No se podria hacer lo mismo en imágenes como esas que te enseñan tu ip, navegador, S.O, etc?

tu no mandas codigo mandas una direccion y por lo general las imagenes y eso k tu dices no son mas k php k muestran unas determinadas cosas dependiendo de la inforamcion k tu navegador le de

¿? Si que manda código, cuando sustituye el User Agent por código php éste se ejecuta, lo que supondría que ese archivo contiene todas las peticiones http que le han enviado, pero según el video solo muestra la actual por lo que deduzco que no las almacena.
Una opción es que el archivo proc/self/environ se modifique cada vez que reciba una petición http y solo conserve la última, pero que utilidad tendría un archivo así?

Paranoias que se me ocurren xD

Tengo curiosidad porque en servidores he encontrado archivos que hacen eso, mostrarte lo que contiene la petición http que envias, pero si modificas una cabecera con código php lo que hacen es enviarmelo escrito sin ejecutarlo.