c99, r57 shell pojasnjenje i iskustva?

3banchi · 18. 03. 2010.

Citat:

Originalno napisao twix

Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci...

Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code).

Ovo je interesantno...mislim da se upravo ovako nesto desavalo. Naime, primetio sam dan dva pre razotkrivanja hacka da mi se preko modula Google oglasa prikazuju poznate ikone Yahooa, e baya, Amazona i sl...pa sam to povezao sa nekom neregularnoscu samog Googlovog adsensea. Da stvar bude manje sumnjiva...to se pokazivalo samo na IE (kontam, naravno, IE je poznat po svojim glupostima u prikazu stranica...), a ne na ostalim browserima.
Tako da mi je sad ovo sto si naveo o ubacivanju php koda u gif i sl. extenzije i povezivanje toga sa shellom malo jasnije.

Citat:

Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\

Da, to sam odmah uradio.

AnonymousCoward · 18. 03. 2010.

Ummm ja bih još jednom pokušao da se uključim u temu kada sam se već javio...a i volim ovakve teme

Da pokušam da pojasnim to sa shellom u gifu:
To sa PHP-om u njoj je slično steganografiji (sakrivanje teksta (valjda se tako kaže na srpskom

)) u konkretnom slučaju PHP koda u slici. Dakle, slika i dalje ostaje validna (u smislu da se ne menja njen izgled i funkcionalnost)...zbog čega prolazi standardne provere da li je slika zaista slika koje često koriste pri aploadu.

Ali, internet media type aka MIME za gif je slika... Dakle, otvoriće mu se standardna slika a ne PHP shell (tj. neće se exec PHP kod). Osim ako nije nekim čudom na tom serveru gif = application/x-httpd-php

Sa LFI radi zato što to izgleda tipa:

Kôd:

include('images/'.$_GET['štagod']); //<-idealan slučaj = http://sajt.tld/skripta.php?štagod=aploadovana_slika_sa_php_kodom.gif

Pa se onda i taj PHP kod....

Tako da ovo što si zadnje napisao meni nema nikakvog smisla.

Reći ću ovako sada (just in case):
Ja bih pregledao logove da vidim kako je taj PHP završio gde je završio i fajlove koji su skoro izmenjeni jer mi i nije baš uteha menjanje passworda ako neko može opet da vidi to...

(Za svaki slučaj: pod onim touch sam mislio na: en.wikipedia.org/wiki/Touch_(Unix) ili php.net/touch ili....)

18. 03. 2010.	#2
AnonymousCoward novi član Na probnom radu Datum učlanjenja: 23.07.2009 Lokacija: U qtji; chuj gde... Poruke: 23 Hvala: 4 5 "Hvala" u 3 poruka	Ummm ja bih još jednom pokušao da se uključim u temu kada sam se već javio...a i volim ovakve teme Da pokušam da pojasnim to sa shellom u gifu: To sa PHP-om u njoj je slično steganografiji (sakrivanje teksta (valjda se tako kaže na srpskom )) u konkretnom slučaju PHP koda u slici. Dakle, slika i dalje ostaje validna (u smislu da se ne menja njen izgled i funkcionalnost)...zbog čega prolazi standardne provere da li je slika zaista slika koje često koriste pri aploadu. Ali, internet media type aka MIME za gif je slika... Dakle, otvoriće mu se standardna slika a ne PHP shell (tj. neće se exec PHP kod). Osim ako nije nekim čudom na tom serveru gif = application/x-httpd-php Sa LFI radi zato što to izgleda tipa: Kôd: include('images/'.$_GET['štagod']); //<-idealan slučaj = http://sajt.tld/skripta.php?štagod=aploadovana_slika_sa_php_kodom.gif Pa se onda i taj PHP kod.... Tako da ovo što si zadnje napisao meni nema nikakvog smisla. Reći ću ovako sada (just in case): Ja bih pregledao logove da vidim kako je taj PHP završio gde je završio i fajlove koji su skoro izmenjeni jer mi i nije baš uteha menjanje passworda ako neko može opet da vidi to... (Za svaki slučaj: pod onim touch sam mislio na: en.wikipedia.org/wiki/Touch_(Unix) ili php.net/touch ili....)

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
httpool - iskustva	Milan G.	Marketing i SEO	38	23. 10. 2010. 20:59
citanje shell output-a tokom izvrsavanja komande	ivanhoe	PHP	3	07. 07. 2010. 01:07
Iskustva sa Silverstripe CMS	SiniX	Web aplikacije, web servisi i software	2	27. 01. 2010. 23:49