Gh0s7
15.12.2006, 00:55
Автоматизируем процесс взлома.
[ I Intro ]
Найденная xss - хорошо.Php-include? Eще лучше. А если 10?50?
Тема этой статьи - автоматизация поиска php-include, sql-inj и xss баг. Так как, процесс поиска достаточно однообразен, то его легко можно автоматизировать ( в данный момент я пишу такой скрипт, релиз планируется в 20-30 числах этого месяца . Кажется, кто-то еще писал похожего бота.. ).
[ II Inside ]
1) PHP-Include. Для начала напишем скриптег примерно
такого вида:
<?
include ($_GET[file]);
?>
Как видно, этот скрипт инклудит переменную file, полученную через GET запрос. Попробуем просто загрузить этот скриптег, без всеких доп. значений в $file:
$ nc 192.168.0.1 80
GET /bug/include.php HTTP/1.0
HTTP/1.1 200 OK
[cut]
Content-Length: 242
Connection: close
<br />
<b>Warning</b>: include() [<a href='function.include'>function.include </a>]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in <b>/var/www/localhost/htdocs/bug/include.php</b> on line <b>2</b><br />
(Все это я специально делаю неткатом, чтобы потом, на практике было проще, т.к. парсить мы будем именно html код со всеми тегами.)
Если вырезать теги, получится что-то типа этого:
Warning: include() [function.include]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/localhost/htdocs/bug/include.php on line 2
Логично редположить, что в большинстве случаев с инклуд багой (error_reporting 0 рассмотрю чуть попозже), месага будет примерно одинаковой. То есть, написав небольшой парсер хтмл для вырезки скриптов (из a тегов например), можно получить неплохой чекер :)
Все просто - если есть месага с "ашипкой", то соответсвенно есть и бага. Как вариант - можно попробовать подставить что-то типа http://google.com/, но возможно что "URL file-access is disabled in the server configuration", и никаких шеллов не будет.
error reporting 0. Часто некоторые умники отключают вывод ошибок вообще. Это привод к тому, что тяжело понять, есть бага или нет. С php-inc поступаем так: перебираем ../[../ here]../etc/passwd, скрипты типа index.php и http://google.com/ например.Если с каким-либо из этих параметров код страницы изменится, можно считать что инклуд есть.
2) SQL-Injection. Скуль.Тут аналогично с инклудом. Во все параметры тыркаем ', -1, etc..
Если будет месага типа "you have an error in your sql syntax", то бага есть.
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near
error reporting 0. Но и тут находятся умники, которые отключат вывод ашипок. Найти багу можно только сделав правильный SQL-запрос.
3) Cross Site Scripting. Тут все еще проще. Для примера возьмем следующий код:
<h1> My XSS here </h1>
Далее мы будем этот код подставлять во все параметры. Найти багу тут очень просто. По определению хсс - внедрение своего кода в код страницы. Парсим код страницы на наличие нашего кода, если находим - бага присутствует. Все просто :)
[ III Outro ]
Описанный выше метод основывается на вывод различных ошибок, в основном.Если вывод отключен - только правильный путь к файлу для php-inc и правильный запрос для sql-inj.
На самом деле, автоматизация этого процесса довольно проста. Примерно в 20-30 числах этого месяца я постараюсь дописать вторую версию крякера с поддержкой проверок rfi (remote file inclusion), sql-inj & xss. Каментим и оцениваем ;)
[ I Intro ]
Найденная xss - хорошо.Php-include? Eще лучше. А если 10?50?
Тема этой статьи - автоматизация поиска php-include, sql-inj и xss баг. Так как, процесс поиска достаточно однообразен, то его легко можно автоматизировать ( в данный момент я пишу такой скрипт, релиз планируется в 20-30 числах этого месяца . Кажется, кто-то еще писал похожего бота.. ).
[ II Inside ]
1) PHP-Include. Для начала напишем скриптег примерно
такого вида:
<?
include ($_GET[file]);
?>
Как видно, этот скрипт инклудит переменную file, полученную через GET запрос. Попробуем просто загрузить этот скриптег, без всеких доп. значений в $file:
$ nc 192.168.0.1 80
GET /bug/include.php HTTP/1.0
HTTP/1.1 200 OK
[cut]
Content-Length: 242
Connection: close
<br />
<b>Warning</b>: include() [<a href='function.include'>function.include </a>]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in <b>/var/www/localhost/htdocs/bug/include.php</b> on line <b>2</b><br />
(Все это я специально делаю неткатом, чтобы потом, на практике было проще, т.к. парсить мы будем именно html код со всеми тегами.)
Если вырезать теги, получится что-то типа этого:
Warning: include() [function.include]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/localhost/htdocs/bug/include.php on line 2
Логично редположить, что в большинстве случаев с инклуд багой (error_reporting 0 рассмотрю чуть попозже), месага будет примерно одинаковой. То есть, написав небольшой парсер хтмл для вырезки скриптов (из a тегов например), можно получить неплохой чекер :)
Все просто - если есть месага с "ашипкой", то соответсвенно есть и бага. Как вариант - можно попробовать подставить что-то типа http://google.com/, но возможно что "URL file-access is disabled in the server configuration", и никаких шеллов не будет.
error reporting 0. Часто некоторые умники отключают вывод ошибок вообще. Это привод к тому, что тяжело понять, есть бага или нет. С php-inc поступаем так: перебираем ../[../ here]../etc/passwd, скрипты типа index.php и http://google.com/ например.Если с каким-либо из этих параметров код страницы изменится, можно считать что инклуд есть.
2) SQL-Injection. Скуль.Тут аналогично с инклудом. Во все параметры тыркаем ', -1, etc..
Если будет месага типа "you have an error in your sql syntax", то бага есть.
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near
error reporting 0. Но и тут находятся умники, которые отключат вывод ашипок. Найти багу можно только сделав правильный SQL-запрос.
3) Cross Site Scripting. Тут все еще проще. Для примера возьмем следующий код:
<h1> My XSS here </h1>
Далее мы будем этот код подставлять во все параметры. Найти багу тут очень просто. По определению хсс - внедрение своего кода в код страницы. Парсим код страницы на наличие нашего кода, если находим - бага присутствует. Все просто :)
[ III Outro ]
Описанный выше метод основывается на вывод различных ошибок, в основном.Если вывод отключен - только правильный путь к файлу для php-inc и правильный запрос для sql-inj.
На самом деле, автоматизация этого процесса довольно проста. Примерно в 20-30 числах этого месяца я постараюсь дописать вторую версию крякера с поддержкой проверок rfi (remote file inclusion), sql-inj & xss. Каментим и оцениваем ;)