Форум АНТИЧАТ - Теория взлома.Web appz. Авто аудит. v.1.0

Автоматизируем процесс взлома.

[ I Intro ]

Найденная xss - хорошо.Php-include? Eще лучше. А если 10?50?
Тема этой статьи - автоматизация поиска php-include, sql-inj и xss баг. Так как, процесс поиска достаточно однообразен, то его легко можно автоматизировать ( в данный момент я пишу такой скрипт, релиз планируется в 20-30 числах этого месяца . Кажется, кто-то еще писал похожего бота.. ).

[ II Inside ]

1) PHP-Include. Для начала напишем скриптег примерно
такого вида:

Код:

<?

  include ($_GET[file]);

?>

Как видно, этот скрипт инклудит переменную file, полученную через GET запрос. Попробуем просто загрузить этот скриптег, без всеких доп. значений в $file:

Код:

$ nc 192.168.0.1 80

GET /bug/include.php HTTP/1.0



HTTP/1.1 200 OK

[cut]

Content-Length: 242

Connection: close





<br />

<b>Warning</b>:  include() [<a href='function.include'>function.include </a>]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in <b>/var/www/localhost/htdocs/bug/include.php</b> on line <b>2</b><br />

(Все это я специально делаю неткатом, чтобы потом, на практике было проще, т.к. парсить мы будем именно html код со всеми тегами.)

Если вырезать теги, получится что-то типа этого:

Код:

Warning: include() [function.include]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/localhost/htdocs/bug/include.php on line 2

Логично редположить, что в большинстве случаев с инклуд багой (error_reporting 0 рассмотрю чуть попозже), месага будет примерно одинаковой. То есть, написав небольшой парсер хтмл для вырезки скриптов (из a тегов например), можно получить неплохой чекер :)
Все просто - если есть месага с "ашипкой", то соответсвенно есть и бага. Как вариант - можно попробовать подставить что-то типа http://google.com/, но возможно что "URL file-access is disabled in the server configuration", и никаких шеллов не будет.

error reporting 0. Часто некоторые умники отключают вывод ошибок вообще. Это привод к тому, что тяжело понять, есть бага или нет. С php-inc поступаем так: перебираем ../[../ here]../etc/passwd, скрипты типа index.php и http://google.com/ например.Если с каким-либо из этих параметров код страницы изменится, можно считать что инклуд есть.

2) SQL-Injection. Скуль.Тут аналогично с инклудом. Во все параметры тыркаем ', -1, etc..
Если будет месага типа "you have an error in your sql syntax", то бага есть.

Код:

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near

error reporting 0. Но и тут находятся умники, которые отключат вывод ашипок. Найти багу можно только сделав правильный SQL-запрос.

3) Cross Site Scripting. Тут все еще проще. Для примера возьмем следующий код:

Код:

<h1> My XSS here </h1>

Далее мы будем этот код подставлять во все параметры. Найти багу тут очень просто. По определению хсс - внедрение своего кода в код страницы. Парсим код страницы на наличие нашего кода, если находим - бага присутствует. Все просто :)

[ III Outro ]

Описанный выше метод основывается на вывод различных ошибок, в основном.Если вывод отключен - только правильный путь к файлу для php-inc и правильный запрос для sql-inj.
На самом деле, автоматизация этого процесса довольно проста. Примерно в 20-30 числах этого месяца я постараюсь дописать вторую версию крякера с поддержкой проверок rfi (remote file inclusion), sql-inj & xss. Каментим и оцениваем ;)