[PHP] Prawidłowy kod, Czyli strona kaput znów Opcje

[materkamil]

Wściekłem się i zrobiłem tak: http://astrouniverse.netii.net/
No i nowa strona dalej rozwalona!
http://www.astrohosting.web44.net/

I teraz wytłumaczę jak zrobiłem tą stronkę:

zrobiłem na stronie głównej formularz do przesyłania hasła do skryptu.

if (hasło poprawne) {
pokaż formularz do przesyłania plików
}
else
{
}

Jednak ten "ktoś" przesłał pliki, a ja nie wiem jakim cudem. Oto kody strony dzięki której pokazuje się formularz:

[PHP] pobierz, plaintext 
<body background=omega.jpg>
<?
$tagizyja = $_POST["haslo"];
$tagikaput = strip_tags($tagizyja);
if($tagikaput == "tego nie powiem") { // TUTAJ WYŚWIETLA SIĘ TEN FORMULARZ PRZESYŁANIA PLIKÓW
echo("<center><font size=6 color=blue face=arial>Upload plików forum <a href=http://www.astrouniverse.pl>ASTROUNIVERSE</a></font><br><br><font size=4 color=Navy>Przypominam że na ten serwer ze względów bezpieczeństwa można przesyłać jedynie pliki z rozszerzeniem: jpg oraz gif. Wykonanie strony <b>materkamil</b><br></font>
<br><form enctype=multipart/form-data action=tu jest jakis plik ale nie powiem nazwy.php method=POST>
<input type=hidden name=MAX_FILE_SIZE value=5000000 />
<input name=plik type=file />
<input type=submit value=Wyslij plik />
</form><br><br><a href=tego tez nie powiem.php>Panel Administratora</a> ");
}
else
{
	if(empty($tagikaput)) {
		echo("<center><font size=5>Dlaczego nic nie wpisałes?</font>");
 
	}
	else
	{
 
echo("<center><font size=5>Wpisane przez ciebie hasło <b>$tagikaput</b> jest nieprawidłowe</font>");
	}
}
?>
[PHP] pobierz, plaintext 

Nie mam pojęcia jak przesłał te pliki? Przecież do przesłania trzeba.

[!*!]

1. musisz sprawdzić czy formularz został wysłany
2. nie przypisuj zmiennych supergloblanych do zmiennych
3. sprawdzaj czy dane istnieją, empty to trochę za mało
4. dlaczego nie sprawdzasz typu danych jakie otrzymujesz?
5. gdzie i jak sprawdzasz przesyłane pliki?
6. dlaczego uważasz że aby przesłać cokolwiek do serwera trzeba użyć tego formularza.

Ten post edytował !*! 28.04.2012, 14:44:50

[materkamil]

OK. Widzę że zawaliłem z tymi 6 punktami twoimi. Zaraz to poprawię i dam znów kod, a powiedzcie czy przy wykorzystaniu tych błędów, jakim cudem można dostać się do PA?

[!*!]

OK. Widzę że zawaliłem z tymi 6 punktami twoimi. Zaraz to poprawię i dam znów kod, a powiedzcie czy przy wykorzystaniu tych błędów, jakim cudem można dostać się do PA?

Jeśli plik jest zewnętrzny, ten od wgrywania pliku i ma błędy, to nie musisz być w PA żeby wysłać cokolwiek. A jak poznać nazwę pliku? hmm zapytaj tego kogoś... możliwe że użyłeś starego mechanizmu wgrywania pliku, i po prostu wystarczyło się do niego odwołać.

[materkamil]

I własnie problem jest większy. Nie ma "tego kogoś". Jest więcej "tych". "ten ktoś 1" pisze mi teraz ale mówi że nie wysłał plików hauru, a pliki sa więc jest "ten ktoś 2". Do tego ten ktoś 2 i ten ktoś 1 ma całkiem inny charakter i na pewno to całkiem dwie inne osoby.

Ten ktoś 1 mówi że nie pisze z PA, tylko z własnego skryptu, a ten ktoś 2 wysłał mi screena z panelu administratora (tego nowego)

Ten post edytował materkamil 28.04.2012, 15:39:19

[lobopol]

1. Masz dziurawy skrypt pozwalający się zalogować do panelu od tak
2. Jak ktoś ci wgrał swój plik na serwer to ma dostęp do praktycznie wszystkich danych na twoim serwerze i może robić co chce

[Substr]

To ja Ci może trochę naświetle problem, bawiłem się z Twoim starym skryptem i mogę powiedzieć, że:

- nie kodujesz haseł, ktoś patrzy w źródło pliku *.php i juz zna
- brak sesji, wystarczy wysłać POSTem informacje do pliku który nazywał się wcześniej w stylu "dodaj.php"
- cały czas prowokujesz, pisząc głupoty
- do tego słabe hasła, mam nadzieję, że ten cytat trochę Ci wyjaśni o co mi chodzi

Hosting został "zhakowany" i jest nowy - niezniszczalny. Hasła będą przesłane jaknajszybciej na PW, a do panelu administracyjnego - jeszcze szybciej. Niestety ale komputery i strony to tylko sprzęt, a jedna wpadka programisty i strona zostaje na zawsze przejęta.

Edit: Hasło na pierwsze wrzucanie dla normalnych userów to: my@#%$my a na panel: as#$%5%^el

Zgadnij skąd to mam?

btw. wydaje mi się, że tych osób piszących było więcej niż 2

[materkamil]

-nie kodujesz haseł, ktoś patrzy w źródło pliku *.php i juz zna

Jak ktoś patrzy? Nie można zobaczyć źródła pliku *.php? Jakim cudem je widzicie?
http://forum.php.pl/index.php?showtopic=54514

- brak sesji, wystarczy wysłać POSTem informacje do pliku który nazywał się wcześniej w stylu "dodaj.php"

Skąd macie nazwę pliku? Przecież można ją zobaczyć jedynie w PA do którego nie da się dostać bo jest if, czyli wpisujesz hasło i ok.

- cały czas prowokujesz, pisząc głupoty

Wydaje mi się że te zabezpieczenia są nie do przejścia, bez jakiejś "nieczystej" gry np: jeśli ktoś z tych userów, co jest włamywaczem to admin hostingu UGU i wtedy widzi pliki.

- do tego słabe hasła, mam nadzieję, że ten cytat trochę Ci wyjaśni o co mi chodzi

Niektórzy nasi użytkownicy mają problem z pisaniem cyfr na klawiaturze, nie wspominając znaków specjalnych

Zgadnij skąd to mam

Nie zgadnę? Jakim cudem dostałeś się do działu na forum zablokowanego?

Ten post edytował materkamil 29.04.2012, 09:54:05

[!*!]

Jak ktoś patrzy? Nie można zobaczyć źródła pliku *.php? Jakim cudem je widzicie?

Pierwsza wersja "ataku" pozwalała na to, był nieograniczony dostęp do serwera FTP. Poza tym sam pokazałeś Nam źródła, pamiętasz?

Skąd macie nazwę pliku? Przecież można ją zobaczyć jedynie w PA do którego nie da się dostać bo jest if, czyli wpisujesz hasło i ok.

Patrz wyżej, ale skoro to "załatałeś" to nie postarałeś się żeby wgrać pliki i nazwa byłą ta sama lub podobna. Wystarczyło wgrać swój plik który wyświetlał nazwę wszystkich plików, a później sam siebie kasował.

Wydaje mi się że te zabezpieczenia są nie do przejścia, bez jakiejś "nieczystej" gry np: jeśli ktoś z tych userów, co jest włamywaczem to admin hostingu UGU i wtedy widzi pliki.

Głosisz herezje, nie ma zabezpieczeń nie do obejścia, już Ci to pisałem.

Nie zgadnę? Jakim cudem dostałeś się do działu na forum zablokowanego?

Zgadł hasło? Lub się zarejestrował, pogadał, popraosił itd.

Ten post edytował !*! 29.04.2012, 10:06:43

[materkamil]

1. Ale on napisał o hasłach w źródle skryptu, których nie dawałem!

Patrz wyżej, ale skoro to "załatałeś" to nie postarałeś się żeby wgrać pliki i nazwa byłą ta sama lub podobna. Wystarczyło wgrać swój plik który wyświetlał nazwę wszystkich plików, a później sam siebie kasował.

Nie rozumię, nazwy plików pozmieniałem na całkiem inne, a nie da się wgrać swój plik, bo jest to "załatane" poprzez brak przesyłania plików .php i do tego hasło na str. głównej

Zgadł hasło? Lub się zarejestrował, pogadał, popraosił itd.

Nie ma mowy. To hakerzy to zgadywacze? Na pewno się nie zarejestrował, nie poprosił bo to też sprawdziłem i dałem hasło userom, którzy byli zarejestrowani dłużej niż miesiąc.

Ale zmienie hasło na dział adminów

[!*!]

To hakerzy to zgadywacze?

W dużej mierze tak. Łatwiej jest zapytać o hasło, niż dłubać przy komputerze, aby je złamać.

1. Ale on napisał o hasłach w źródle skryptu, których nie dawałem!

Nie rozumię, nazwy plików pozmieniałem na całkiem inne, a nie da się wgrać swój plik, bo jest to "załatane" poprzez brak przesyłania plików .php i do tego hasło na str. głównej

Co z tego że pozmieniałeś, skoro były do odgadnięcia? A przesłanie pliku .php to jak widzisz, nie problem.

[lobopol]

1. Najprostsza metoda poznania adresów do konkretnych akcji to po prostu metoda prób i błędów, są prościutkie skrypty sprawdzające najpopularniejsze adresy dostępowe takie jak: domena.pl/admin, /_admin, _panel, dodaj, add, pa itp. W taki sposób można dostać bardzo szybko najważniejsze adresy w bardzo wielu systemach. Jeżeli nie ma w nich żadnej metody autoryzacji (z cyklu nie masz w sesji uprawnień to nie wgrasz pliku) albo w zły sposób jest przeprowadzona autoryzacja (np. puszczany redirect bez zatrzymania skryptu gdy brak autoryzacji) to "hakier" już ma dostęp do konta admina
2. Jeżeli ktoś wgrał plik php na serwer i był w stanie go uruchomić to za jego pomocą może:
-odczytać wszystkie pliki php i np. skopiować je sobie aby je podejrzeć
-dostać się do wszystkich zmiennych w serwisie (np. podejrzeć hasło do bazy)
-zaciągnąć bazę danych i z niej pobrać hasło admina bądź podmienić mu hasło i się na jego konto zalogować (choć mając bazę i dostęp do skryptu to jest zbędne)
3. Jak poznać hasło admina gdy nie masz dostępu do wgrywania pliku czy luk pozwalających na najprostszy dostęp:
-bruteforce na najczęstsze hasła typu 12345, qwerty itp.
-zebranie informacji o adminie często hasła są powiązane z osobą np. data urodzin, imię dziewczyny etc.
-jakaś luka xss pozwalająca na kradzież sesji
-atak typu "man in the middle"
-i jeszcze cała masa innych technik


Dalej załóżmy, że ktoś już wcześniej wgrał ci plik php i za jego pomocą zmodyfikował jeden z twoich plików dodają mu opcje pozwalającą na wykonanie evala na danych przesłanych do tego pliku, możliwości są setki

[Substr]

Na starej stronie po wgraniu shella mogłem zobaczyć źródło każdego pliku. Więc widziałem też hasło do panelu. Potem byłem na nowej stronie, gdzie widziałem, iż ktoś zostawił wiadomość o tym że wystarczyło mu 30 sekund. Ja przypadkiem odwiedziłem Twoje forum, na którym widziałem nieukryty dział administracyjny a w nim temat o hasłach do skryptu. Chciałem go otworzyć, ale był zabezpieczony.. wpisałem hasło jakie miałeś w pierwszym skrypcie do PA i mogłem przeglądać już cały zablokowany dział.

Nie wiem jak inna osoba która zostawiła wiadomość, ale ja wgrać pliku już nie mogłem, nawet zmieniając nagłówki pliku php na jpg.

[!*!]

I jeszcze jedno. Wgranie czegokolwiek na Twój serwer było tak proste jak napisanie

[PHP] pobierz, plaintext 
<?php
 
echo 'hello world';
 
?>
[PHP] pobierz, plaintext 

Dlatego nie może być tu mowy o żadnym włamaniu itd. bo po prostu nie było do czego się włamać, wszytko było na tacy. Dlatego bulwersik Niktosia w innym temacie tak mnie teraz bawi

Ten post edytował !*! 29.04.2012, 10:51:51

[materkamil]

Czyli wypowiedzi "dalej niezabezpieczone" są nie trafne, bo wszystko się łączy z tym 1 skryptem który miał dziurę. Oczywiście hasła już pozmieniane.

Czyli ty wgrałeś tego "hauru". Dobra przynajmniej przyda mi się taki skrypt

[usb2.0]

Wykonanie strony: materkamil
to mnie rozwala ; D
sie lepiej nie chwal bo nie ma czym zdaje sie:P

Ten post edytował usb2.0 29.04.2012, 10:55:06

[materkamil]

Wykonanie strony: materkamil
to mnie rozwala ; D
sie lepiej nie chwal bo nie ma czym zdaje sie:P

Chwal? Przypominam, że strona nie obraca się w kręgu informatyków takich jak wy, lecz jedynie zwykłych pasjonatów astronomii, którzy o PHP nie mają zielonego, czerwonego ani niebieskiego pojęcia. Więc: wykonanie strony - materkamil, przechodzi tu z wielkim podziwem

[!*!]

Pokaż kod, czy teraz zrobiłeś to dobrze.

[materkamil]

Zmienie nazwy plików i hasła i gotowe. Ten skrypt ogólnie jest dobry, jednak hasła były słabe.

[!*!]

Zmienie nazwy plików i hasła i gotowe. Ten skrypt ogólnie jest dobry, jednak hasła były słabe.

Nie jest, już Ci pisałem dlaczego.