Автоматизируем процесс взлома.

[ I Intro ]

Найденная xss - хорошо.Php-include? Eще лучше. А если 10?50?
Тема этой статьи - автоматизация поиска php-include, sql-inj и xss баг. Так как, процесс поиска достаточно однообразен, то его легко можно автоматизировать ( в данный момент я пишу такой скрипт, релиз планируется в 20-30 числах этого месяца . Кажется, кто-то еще писал похожего бота.. ).

[ II Inside ]

1) PHP-Include. Для начала напишем скриптег примерно
такого вида:
Как видно, этот скрипт инклудит переменную file, полученную через GET запрос. Попробуем просто загрузить этот скриптег, без всеких доп. значений в $file:
(Все это я специально делаю неткатом, чтобы потом, на практике было проще, т.к. парсить мы будем именно html код со всеми тегами.)

Если вырезать теги, получится что-то типа этого:
Логично редположить, что в большинстве случаев с инклуд багой (error_reporting 0 рассмотрю чуть попозже), месага будет примерно одинаковой. То есть, написав небольшой парсер хтмл для вырезки скриптов (из a тегов например), можно получить неплохой чекер :)
Все просто - если есть месага с "ашипкой", то соответсвенно есть и бага. Как вариант - можно попробовать подставить что-то типа http://google.com/, но возможно что "URL file-access is disabled in the server configuration", и никаких шеллов не будет.

error reporting 0. Часто некоторые умники отключают вывод ошибок вообще. Это привод к тому, что тяжело понять, есть бага или нет. С php-inc поступаем так: перебираем ../[../ here]../etc/passwd, скрипты типа index.php и http://google.com/ например.Если с каким-либо из этих параметров код страницы изменится, можно считать что инклуд есть.

2) SQL-Injection. Скуль.Тут аналогично с инклудом. Во все параметры тыркаем ', -1, etc..
Если будет месага типа "you have an error in your sql syntax", то бага есть.
error reporting 0. Но и тут находятся умники, которые отключат вывод ашипок. Найти багу можно только сделав правильный SQL-запрос.

3) Cross Site Scripting. Тут все еще проще. Для примера возьмем следующий код:
Далее мы будем этот код подставлять во все параметры. Найти багу тут очень просто. По определению хсс - внедрение своего кода в код страницы. Парсим код страницы на наличие нашего кода, если находим - бага присутствует. Все просто :)

[ III Outro ]

Описанный выше метод основывается на вывод различных ошибок, в основном.Если вывод отключен - только правильный путь к файлу для php-inc и правильный запрос для sql-inj.
На самом деле, автоматизация этого процесса довольно проста. Примерно в 20-30 числах этого месяца я постараюсь дописать вторую версию крякера с поддержкой проверок rfi (remote file inclusion), sql-inj & xss. Каментим и оцениваем ;)