Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

2 Stron V   1 2 >  
Reply to this topicStart new topic
> Dziura czy słabe zabespieczenia?
SonGoace
post
Post #1





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


Ostatnio zrobiłem sobie 2 skrypty, jeden od lokalizacji sciezki dostępu, drugi do dopisywania. Skrypty są banalne ale działają. Chodzi mi o to. Cze to jest błąd php że pozwala dostać sie do innego konta nawiąc się na katalogach serwera (nie chodzi mi o adresy np. www.aaa.boo.pl tylko). A dokładniej przejście z katalogu głównego jakim jest www.aaa.boo.pl do katalogu w którym to konto wisi, a nawet do wyrzeszego. i tak mozna dostac sie do czyjegos konta. A jak wiadomo jak sciezka ma taki format czyli bez htto:// czy ftp:// mozna działac na plikach które mają atrybuty. Więc czy to jest błąd albo dziura w php czy tylko słabe zabezpieczenie serwera ? Powiem tylko że boo wybrałem dla przykładu. Inne też tak się da obejść...
Go to the top of the page
+Quote Post
steru
post
Post #2





Grupa: Zarejestrowani
Postów: 107
Pomógł: 0
Dołączył: --
Skąd: Krakow

Ostrzeżenie: (0%)
-----


raczej slabe zabeSpieczenia
Go to the top of the page
+Quote Post
castor
post
Post #3





Grupa: Zarejestrowani
Postów: 456
Pomógł: 0
Dołączył: --

Ostrzeżenie: (0%)
-----


Zabezpieczenia lub zle ustawiona konfiguracji php poszukaj se w php.ini czego takiego:
Paths and Directories

chyba o te dziury ci chodzilo? :wink:


--------------------
pozdrawiam
CASTOR
Go to the top of the page
+Quote Post
SonGoace
post
Post #4





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


Cytat
Zabezpieczenia lub zle ustawiona konfiguracji php poszukaj se w php.ini czego takiego:
Paths and Directories


Nie ma sprawby. Zrobił bym to gdybym był adminem na BOO albo na Of.pl. Ale nie jestem :P

Ale te "dziurki są fajne". Nayczyłem się nimi bawić, sama scieżka dostępu w HTML nie działa, bo on jest ograniczony do zakresu danego adresu, ale jak się domyślam to php łazi po serwi nie po danym koncie. więc wpisuje sobie fopen("jakiś katalog/jakiśkatalog/plik.txt","w"); ... i se dopisuje bez zadnych haseł czy takich tam pierduł. tylko musze mieć na pliku uprawnienia. I tu są problemy. Zadko się zdaza plik z odpowiednim chmodem. Moge zmienić uprawnienia przez chmod() ale ta funkcja nie chce działać nawet jak chce zmienić uprawnienia u siebie. To daje jeszcze jednego myka. Mozna zrobić skrypt do wrzucania plików na serwa ale próbowałem, sprawdzałem nawet te skrypty co podawaliście na forum i zaden nie dziła. A jak bym miał taki, działający, skrypt to bym se napisał skrypt-konia, wrzucił go drajerobi na serwer i wykasował mu pliki (jest chyba opcja do kasowania plików) ... To by było na tyle. (sory za błędy)
Go to the top of the page
+Quote Post
castor
post
Post #5





Grupa: Zarejestrowani
Postów: 456
Pomógł: 0
Dołączył: --

Ostrzeżenie: (0%)
-----


Cytat
Nie ma sprawby. Zrobił bym to gdybym był adminem na BOO albo na Of.pl. Ale nie jestem tongue.gif  

Ale te "dziurki są fajne". Nayczyłem się nimi bawić, sama scieżka dostępu w HTML nie działa, bo on jest ograniczony do zakresu danego adresu, ale jak się domyślam to php łazi po serwi nie po danym koncie. więc wpisuje sobie fopen("jakiś katalog/jakiśkatalog/plik.txt","w"); ... i se dopisuje bez zadnych haseł czy takich tam pierduł. tylko musze mieć na pliku uprawnienia. I tu są problemy. Zadko się zdaza plik z odpowiednim chmodem. Moge zmienić uprawnienia przez chmod() ale ta funkcja nie chce działać nawet jak chce zmienić uprawnienia u siebie. To daje jeszcze jednego myka. Mozna zrobić skrypt do wrzucania plików na serwa ale próbowałem, sprawdzałem nawet te skrypty co podawaliście na forum i zaden nie dziła. A jak bym miał taki, działający, skrypt to bym se napisał skrypt-konia, wrzucił go drajerobi na serwer i wykasował mu pliki (jest chyba opcja do kasowania plików) ... To by było na tyle. (sory za błędy)


nie oczekuj pomocy ode mnie bo jej nie dostaniesz po takim poscie angrysmiley.gif

Zanim cos zniszczysz naucz sie tworzyc!


--------------------
pozdrawiam
CASTOR
Go to the top of the page
+Quote Post
wool
post
Post #6





Grupa: Zarejestrowani
Postów: 148
Pomógł: 0
Dołączył: 4.04.2002
Skąd: starachowice

Ostrzeżenie: (0%)
-----


Cytat
Zabezpieczenia lub zle ustawiona konfiguracji php poszukaj se w php.ini czego takiego:
Paths and Directories

chyba o te dziury ci chodzilo? :wink:

Raczej w http.conf
Options - indexes
SonGoace mam nadzieję że Tobie też ktoś zrobi coś takiego zabawnego jak się nad czymś mapracujesz :cry: [/code]
Go to the top of the page
+Quote Post
itsme
post
Post #7





Grupa: Zarząd
Postów: 1 512
Pomógł: 2
Dołączył: 22.04.2002
Skąd: Koszalin




nastepny hackier kup se łom i zniszcz sobie czerep sad.gif(((

pozostaje sie tylko modlic ze jest mniej takich pehapowcow na swiecie

mam nadzieje ze rozumiesz to co robisz .... wiecej bys zyskal zabezpieczeniem takich luk nic niszczeniem danych .... zawsze bylem jestem i bede wrazliwy na szczawikow ktorzy dla sportu niszcza cudza prace ..... a tak () mowiac looknij sobie na http://hacking.pl or http://nevillon.pac.pl tam znajdziesz informacje na temat etyki hackiera oraz prawa karnego z tego zakresu pozniej przemysl to przegrys i zmien swoje postepowanie


Pozdrawiam It`s_me
Go to the top of the page
+Quote Post
SonGoace
post
Post #8





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


NIe jestem hakierem, nie chce być, i nigdy nie byłem . Poszecie żebym zabespieczał takie dziurki. Nie ma sprawy ale ja nie mam dostępu do zabespieszczen jakiegoś serwa. Napisalem tutaj z pytaniem czy to dziura... Dowiedzeliście się na czym polega więc. Wiem że wy o tym wiedzieliście to czemu wcześniej nie zaczeliście działać ?

ps.
Haker to ktoś kto sprawdza słabe zabespieczenia i przekazuje te informacje administratorowi systemu tak ?
A kreker to ktoś taki jak napisał "itsme" tak ?

Jak chcecie to bez problemu opisze wam dokładnie jak to robie, podam wam nawet skrypty. Chodz pewnie wiecie jak one wyglądają. Przepraszam jeszcze raz jak kogos skrzywdziłem.
Go to the top of the page
+Quote Post
dvc
post
Post #9





Grupa: Zarejestrowani
Postów: 139
Pomógł: 0
Dołączył: 29.04.2002
Skąd: Warszawa

Ostrzeżenie: (0%)
-----


ciekawe rzeczy są poruszane na tym forum tylko dlaczego nie bardzo wiem o co chodzi, teksty SonGoace są chyba innym językiem pisane choć rozumiem wiekszość słów to jednak logiki i sensu w nich nie bardzo odnajduje
wiem, że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?

proszę o przetłumaczenie
dzięki


--------------------
.: [ DV ] :.
Go to the top of the page
+Quote Post
itsme
post
Post #10





Grupa: Zarząd
Postów: 1 512
Pomógł: 2
Dołączył: 22.04.2002
Skąd: Koszalin




Do SonGoace

Z Twojej pierwotnej wypowiedzi czuc znaczącą satysfakcje z faktu mozliwsci kasowania plikow. Dlatego az tak Twoja wypowiedz mnie zirytowala

Jezeli znasz sposoby lamania zabezpieczen i jezeli je tylko znasz nie niszczac danych to OK to juz milcze smile.gif))

ps opisz sposoby i zalacz skrypiory sadze ze ta czesc FORUM bedzie miala niezla ogladalnosci potem reklama itp smile.gif))

ale tajk powaznie jestem bardzo ciekawy jakie massz osiagniecia z tego zakresu i jakie masz rowniez sposoby zabezpieczenia sie przed tego typu dzialaniem

ps. mnie zniszczono kawal mojej roboty zas sprawcy tego czynu robili to tylko dla "sportu" sad.gif((
nadal Pozdrawiam It`s_me[/b]
Go to the top of the page
+Quote Post
dvc
post
Post #11





Grupa: Zarejestrowani
Postów: 139
Pomógł: 0
Dołączył: 29.04.2002
Skąd: Warszawa

Ostrzeżenie: (0%)
-----


itsme: współczuje, ja robie sobie zawsze kopie i zabieram do domu na dyskietkach

ale bazy jeszcze nie kopiowałem...


--------------------
.: [ DV ] :.
Go to the top of the page
+Quote Post
Seth
post
Post #12





Grupa: Przyjaciele php.pl
Postów: 2 335
Pomógł: 6
Dołączył: 7.03.2002

Ostrzeżenie: (0%)
-----


Tak tylko dla formalnosci zapytam sie ile masz lat SonGoace :?:
Go to the top of the page
+Quote Post
SonGoace
post
Post #13





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


Dla formalności odpowiem że mam 19 lat. (pewnie ten fakt sprowadzi was do dziwnych refleksji na temat mojej osoby:P )

Teraz do rzeczy.
"itsme" napisałeś o satysfakcji. Ty jej nie czyjesz jak odkrywasz coś czego nie znałeś ? To jest tak jak K. Kolumb gdy odkrył (już wcześniej odkrytą i zamieszkaną przez "indian") Amerykę, on też czyłsatysfakcję.

Piszesz bym udostępnił te skrypty, jak to zrbie to chyba każdy będzie chciał się nimi pobawić. To było by zgubne dla wielu.

ptyasz takrze czy wiam jak to zabespieczyć. Chyba nie da się tego zrobić. tzn nie da ze strony urzytkowanika, no bo niby jak ? ukryć pliki ? bo chyba nie da sięzapisać w pliku TXT info. że tylko plik znajdujący się
"obok" moze do niego coś dopisać. Ale powiem ci że to działa tylko tam gdzie inny ma konto. Bo żeby buszować po katalogach trzeba wystartować z konta na tym samym serwie, a przecież nie każdy ma dostęp do wszystkich.

"Itsme", jeśli chcesz to moge ci dać te skrypty (banalne, razem zajmują jakieś 300b - nie kilo :P) Jeśli chcesz napisz na GG (Gadu-Gadu) 1478896

I jeszcze jedno teraz to wy powiedzcie ile macie lat :P
Go to the top of the page
+Quote Post
Seth
post
Post #14





Grupa: Przyjaciele php.pl
Postów: 2 335
Pomógł: 6
Dołączył: 7.03.2002

Ostrzeżenie: (0%)
-----


Tez mam 19 lat, ale w przeciwienstwie do Ciebie nie bawia mnie takie rzeczy jak kasowanie ludziom ich pracy. angrysmiley.gif

A co do tej dziury to przeciez mozesz to zglosci do admina serwisu.
Go to the top of the page
+Quote Post
SonGoace
post
Post #15





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


NIe odpowiada na maila...
Go to the top of the page
+Quote Post
dvc
post
Post #16





Grupa: Zarejestrowani
Postów: 139
Pomógł: 0
Dołączył: 29.04.2002
Skąd: Warszawa

Ostrzeżenie: (0%)
-----


mam kilka wiosen wiecej niż wy chlopaki rolleyes.gif
chyba :wink:


--------------------
.: [ DV ] :.
Go to the top of the page
+Quote Post
SonGoace
post
Post #17





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


Cytat
ciekawe rzeczy są poruszane na tym forum tylko dlaczego nie bardzo wiem o co chodzi, teksty SonGoace są chyba innym językiem pisane choć rozumiem wiekszość słów to jednak logiki i sensu w nich nie bardzo odnajduje
wiem, że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?

proszę o przetłumaczenie
dzięki


Innym? Są pisane bardzo prostym językiem, nie stosuje tych "waszych" pojęć tongue.gif

"że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?"
Powiem to tak. Jeśli chcesz działać na plikach na innym koncie musisz podać hasło i login oraz adres ftp tego pliku tak ?
ale jak działasz na innym katalogu, na swoim koncie, to wystarczy podać scieżkę dostępu, np. ../../jakiś plik.txt. i nie trzeba dawać hasła. A nie pomyśleliście że wszystkie konta np. Mietek jest w katalogu konta-na-M a katalog konta-na-M jest w jeszcze innym. Więc php chyba nie ma zabespieczonego takiego przejścia bo można przecież zrobić tak że Mietek dostaje się do katalogu Władka tak include("../../../konta/konta-na-W/władek/www/jakiś plik.txt") widzisz tak się mozna dostać do innego konta..
Go to the top of the page
+Quote Post
itsme
post
Post #18





Grupa: Zarząd
Postów: 1 512
Pomógł: 2
Dołączył: 22.04.2002
Skąd: Koszalin




ja mam 28 lat

ale wiek nie ma znaczenia mam przyjaciol na ircsieci w wieku 14 lat

ale fakt faktem ze milo jest odkrywac jak Kolumb ale on nie zajebal tam atomowki zaarz po odkryciu a ty odrazu mowisz o kasowaniu
inna by byla moja reakcja gdybys napisal ze naezy powiadomic admina wtedy sam od siebie jeszcze wiekszymi literami niz wczesniej napisal ZE TEGO CZLOWIEKA NALEZY Z ZALOZENIA SZANOWAC !!!!!!!!

ale niestety tak sie nie stalo ............

lecimy dalej wiem ze to w moim interesie jest do ciebie napisavc na gg ale ja z tego nie kozystam wiec jezeli mozesz to itsme@irc.pl

znajdziesz (cie) mnie rowaniesz na kanale #koszalin z nickiem It`s_me
na ircsieci
aha starcilem dane z bazy danych ........ oj bolalo bolalo .... starcilem zaufanie znajomych przez ten fpad ehhhhhh szkoda pisac sad.gif(

Pozdrawiam It`s_me
Go to the top of the page
+Quote Post
wool
post
Post #19





Grupa: Zarejestrowani
Postów: 148
Pomógł: 0
Dołączył: 4.04.2002
Skąd: starachowice

Ostrzeżenie: (0%)
-----


Cytat
ja mam 28 lat

ale wiek nie ma znaczenia mam przyjaciol na ircsieci w wieku 14 lat

cieszę sie że jest ktoś w moim wieku :wink:
to co napisałeś to jedynie wyjątki ale w informatyce to właśnie najmłodsi wiodą prym pod względem uczenia się :wink:
SonGoace raczej przez przypadek dostał się do tego serwera dzięki "pomocy" administratora, zgadza się SonGoace :?:
moderator chyba przysypia (php->Hydepark)
Go to the top of the page
+Quote Post
SonGoace
post
Post #20





Grupa: Zarejestrowani
Postów: 69
Pomógł: 0
Dołączył: 13.05.2002
Skąd: Sanok

Ostrzeżenie: (0%)
-----


Nie, nie zgadza się. Od czasu kiedy forum nie dziłało poznałem jeszcze kilka sztuczek. A pozatym Off, boo, host.sk pozwalają jeszcze na to więc to nie jest przypadkowe jesli o to chodzi. A co do kolumba to po wylądowaniu na ontynencie zabili kilku "indian" tongue.gif

Ale chce ci jeszcze powiedzieć że sam natknołem sięna chamstwo w sieci i ja tego nie popieram więc nikomu nie będe nic kasował...
Go to the top of the page
+Quote Post

2 Stron V   1 2 >
Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 19.08.2025 - 19:08