Full title: Terra.com.br LFI Vulnerability + Smart Exploit 0day 
Category: web applications
Platform: linux
This flaw allows you to read any file on the site and provider Terra.com.br which holds various sites in your environment and thousands of customers with great financial value.
I am offering an exploit that will intelligently stores files in a directory the files extracted to facilitate enumeration, and will read the cached files are not making the request again.
For a smart attacker is the kick-off.
Understanding how it works can manually explore.
Sites on this server: ads.terra.com.br, apuracao.terra.com.br, braznet.com.br, discovirtual.com.br, divulgafacil.terra.com.br, educaterra.terra.com.br, especialcabelos.terra.com.br, ez-bh.com.br, ez-poa.com.br, globalsite.com.br, paginas.terra.com.br, palavrascruzadas.terra.com.br, planeta.terra.com.br, qualehasua.com.br, rio.com.br, suapele.terra.com.br, tc.terra.com, tc.terra.com.br, terra.com.br, terraempresas.com.br, terragigante.com.br, terramundo.co.terra.com, terranetwork.com.br, terraplus.com.br, terrasite.com.br, terratv.com.br, toontown.terra.com.br, tropical.com.br, tvterra.terra.com.br, vivointernetdiscada.com.br, voip.terra.com.br, ww1.brd.terra.com.br, ww1.poa.terra.com.br, ww3.terra.com.br, www.blb.terra.com.br, www.braznet.com.br, www.cba.zaz.com.br, www.esportes.terra.com.br, www.ez-poa.com.br, www.itelefonica.com.br, www.jfa.nutecnet.com.br, www.nutecnet.com.br, www.qualehasua.com.br, www.rio.com.br, www.terra.com.br, www.terraempresas.com.br, www.terranetwork.com.br, www.terranetworks.com.br, www.tropical.com.br, www.vivointernetdiscada.com.br, www.voipterra.com.br, www.wwwterra.com.br, www.zaz.com.br, wwwterra.com.br and more...

# 0day.today @ http://0day.today/