[Shakan]

Bonjour tout le monde cette question je la pose avec la plus grande déclicatesse en espérant qu'elle ne provoque pas de réactions outragés de la part de certains qui s'y connaissent plus en matière de hacking que moi donc voilà je tente d'apprendre le hacking petit à petit et de me faire une idée du cheminement global qui pourait permettre d'accéder au contenu sensible d'un site web bien entendu je fais cela en ayant en tête une intention curieuse qui pourrait me permettre d'étayer mes connaissances en matière de sécurité web donc voilà je me lançe en espérant ne pas paraître comme un lamer à vos yeux ( Hackers c'est à vous que je m'adresse ) donc voilà la question est très simple :

Si l'on désire uploader un fichier sur un serveur distant et que ce fichier soit un exploit ou tout autre fichier suceptible oui ou non de nuire, faut-il pour cela être obligatoirement root du serveur ftp ?

Est-ce donc là ,la seule méthode pour en arriver à ce résultat ?

Je vous remerçie d'avance pour votre aide en espérant n'avoir outragé personne avec ces questions de débutant qui pourait certainement sembler rageant pour certains

Je ne désire qu'une chose apprendre.

[Romano]

eu suffit de posséder des droits d'ecriture, en général c'est le cas pour n'importe quel user qui a son home directory.

Mais c'est pas en ftp que tu executeras ton fichier ^^

Souvent on upload les exploits ds le /tmp qui possède des droits d'ecriture pr tout le monde , on l'upload en général à l'aide de php, d'utilitaires genre wget etc ...

[Shakan]

Souvent on upload les exploits ds le /tmp qui possède des droits d'ecriture pr tout le monde big_smile, on l'upload en général à l'aide de php, d'utilitaires genre wget etc ...

Donc si j'avais l'intention d'uploader à l'aide du serveur FTP du site web ciblé j'ai bien compris que ce n'est pas la bonne solution, n'est ce pas ?

Sinon tu me dis que l'on peut uploader à l'aide PHP mais je pense déjà à un problème c'est tout bête admettons que le site ne soit pas en PHP mais en ASP et en HTML ce genre de programme d'upload peut-il fonctionner ou il existe des équivalents de ce genre de programme dans les deux derniers langages que j'ai cité ?

Merçi pour ta réponse.

[Romano]

Eu en ASP j'en sais rien, je suppose, en html (que je ne considère pas comme un language), c'est évident que non.
Uploader un exploit ca ne t'avancera à rien si tu ne peux pas l'executer, via un shell par exemple.

Uploader par la méthode FTP ne pose pas plus de problème, mais il n'est pas toujours evident de récuperer l'accès.

[Shakan]

Donc mis à part le FTP qui est un moyen d'uploader un exploit existe-t-il une autre méthode ?
J'ai pensé à une vulnérabilité quelconque présente dans le code source de la page cela pourrait-il être une possiblité d'y introduire un exploit ?

Sinon j'avais une autre question concernant la structure d'un site web, moins un site est dynamique et plus il est vulnérable (structure simple codé en HTML )? ou l'inverse ( PHP, Javascript ) ?

[Folcan]

Donc mis à part le FTP qui est un moyen d'uploader un exploit existe-t-il une autre méthode ?
J'ai pensé à une vulnérabilité quelconque présente dans le code source de la page cela pourrait-il être une possiblité d'y introduire un exploit ?

Heureusement qu'il n'existe pas uniquement le FTP pour uploader ^^
Par exemple, une faille sur un systeme d'upload d'image du site, qui te permettrait d'y uploader une page.php
Ou une faille include, dans laquelle tu y inclue ton propre script d'upload codé pour l'occasion, et hop le tour est joué

Sinon j'avais une autre question concernant la structure d'un site web, moins un site est dynamique et plus il est vulnérable (structure simple codé en HTML )? ou l'inverse ( PHP, Javascript ) ?

Cela me parait assez evident que l'inverse est de mise, plus un site est dynamique plus il sera faillible, et pour cause, un language dit dynamique (PHP), permet une interaction client/serveur, contrairement au html.
En gros, sur du html, tu ne pourra (presque) rien faire, alors que le PHP offre une multitude d'accès