Forum Coders' city Strona Główna Coders' city
Nasza pasja to programowanie!
 

 PomocPomoc   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy  RejestracjaRejestracja 
Archiwum starego forum + teoria    RSS & Panel/SideBar
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

Potrzebuję szybkiej odpowiedzi na moje pytanie... Zasady

Próba włamania na stronę



 
Odpowiedz do tematu    Forum Coders' city Strona Główna -> PHP
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
rafor4



Dołączył: 25 Lut 2016
Posty: 3

PostWysłany: Czw Lut 25, 2016 12:11 am  OP    Temat postu: Próba włamania na stronę Odpowiedz z cytatem Pisownia

Witam.
Na mojej stronie internetowej próbowano włamać się za pomocą sqlinjecta / wgrać backdoora oraz za pomocą bliżej niezidentyfikowanych metod.

Cała próba ataku odbyła się na kilku podstronach. Backdoor został wgrany przez wgrywanie avatara jednak został szybko unieszkodliwiony (1525 linijek skryptu - dość skomplikowany), a reszta ataku została przeprowadzona w formularzu kontaktu. Tak czy inaczej całość skryptów jest zabezpieczona za pomocą filtracji danych do wprowadzania, jednak ta podstrona nie zapisywała danych do bazy tylko bezpośrednio przesyłała treść wiadomości na maila - cały atak to było ~2500 prób w różny sposób używając sql inject z kombinacjami ' " ` oraz dziwnych komend. Formularz kontaktowy wyglądał mniej więcej w taki sposób:
$wiadomosc = $_POST['wiadomosc'];
$tytul = $_POST['tytul'];
i do wysłania została użyta funkcja mail();
Czyli prosty skrypt bez zapisywania do bazy więc wszystkie próby ataku znajdują się na skrzynce pocztowej. I właśnie tutaj cały problem, gdyż rozumiem prawie wszystkie wpisywane w formularzu próby ataków jednak nie wiem co miały spowodować te poniższe:
m.in.: (wpisywane w różnych kombinacjach z ' " ` | na początku i na końcu):
waitfor delay '0:0:4'--
file:///../../../../../../../winnt/win.ini
file:///../../../../../winnt/win.ini
file:///../../../../../../boot.ini
file:///../../../../../..//etc/passwd
file:///../../../../..//proc/self/environ
type %SystemRoot%\\\\win.ini
type %SystemDrive%\\\\boot.ini
/bin/cat /etc/security/passwd
sleep 8
/proc/self/environ

Czy mogło dojść w ten sposób do ataku przez php? cały formularz jest stworzony w stylu "<input type="text" name="c">"
Co usiłowano zrobić powyższymi komendami?
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Garf



Dołączył: 25 Maj 2005
Posty: 3607
Skąd: Rzeszów

PostWysłany: Czw Lut 25, 2016 12:27 am      Temat postu: Odpowiedz z cytatem Pisownia

To w końcu został wgrany backdoor czy nie? Strona to samoróbka czy coś oparte o jakiś framework/CMS/cokolwiek? Strasznie niejasno piszesz, a nie chcę wróżyć z fusów (choć mam przed sobą dość pokaźną ilość na dnie kubka).

waitfor delay - to polecenie Transact SQL (serwer MS SQL)
file:/// - próba otwarcia URI wskazującego na plik na dysku, w tym przypadku celowane było zarówno w system Windows jak i Linux
type - to samo co cat na linuksa, czyli wypisanie zawartości pliku

Ot, taki "shotgun exploiting".

_________________
Internet nadal „nic nie rozumie”, żadnego odkrycia, choćby od niego zależał los świata,
ale nadanego w egzotycznym języku, nie odróżni od nieco mniej ważnej wieści,
że u ciotki w placku z jabłkami zrobił się w piekarniku zakalec.
Stanisław Lem
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
rafor4



Dołączył: 25 Lut 2016
Posty: 3

PostWysłany: Czw Lut 25, 2016 12:32 am  OP    Temat postu: Odpowiedz z cytatem Pisownia

Wybacz.
Backdoor został wgrany z rozszerzeniem .png ponieważ tylko na takie zezwalała strona jednak mimo to zadziałał antywirus i zostały nadane uprawnienia 000 oraz rozszerzenie pliku zostało zmienione na .VIRUS więc plik nie mógł zostać wykonany.

Skrypt to samoróbka. Czyli dokładnie wygląda tak jak napisałem. Bez frameworka i czegokolwiek.

Pytaj to chętnie odpowiem.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Garf



Dołączył: 25 Maj 2005
Posty: 3607
Skąd: Rzeszów

PostWysłany: Czw Lut 25, 2016 9:16 am      Temat postu: Odpowiedz z cytatem Pisownia

Jaki antywirus?
_________________
Internet nadal „nic nie rozumie”, żadnego odkrycia, choćby od niego zależał los świata,
ale nadanego w egzotycznym języku, nie odróżni od nieco mniej ważnej wieści,
że u ciotki w placku z jabłkami zrobił się w piekarniku zakalec.
Stanisław Lem
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
rafor4



Dołączył: 25 Lut 2016
Posty: 3

PostWysłany: Czw Lut 25, 2016 1:29 pm  OP    Temat postu: Odpowiedz z cytatem Pisownia

Hosting posiada antywirus skanujący uploadowane pliki. Po wgraniu pliku jest on skanowany na obecność wirusów. Jeśli wykryje wirusa w pliku tak jak pisałem nadaje mu uprawnienia 000 i zmienia rozszerzenie. Odbywa się to od razu przy wgraniu, a nie po np. 1h. Tak czy inaczej czy jeśli został wgrany kod <?php ?> (ten backdoor) w pliku z rozszerzeniem .png to nawet jeśli nie byłoby antywirusa to on w ogóle mógł zostać wykonany?

I czy tamte komendy file:// mogły coś wyciągnąć? Dodam, że strona stoi na hostingu, a nie jest to serwer dedykowany, więc pewnie i tak dostęp do tych katalogów jest zablokowany ze strony.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Odpowiedz do tematu    Forum Coders' city Strona Główna -> PHP Wszystkie czasy w strefie CET (Europa)

Strona 1 z 1

 
Skocz do:  
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Możesz dodawać załączniki na tym forum
Możesz pobierać pliki z tego forum




Debug: strone wygenerowano w 0.09617 sekund, zapytan = 11
contact

| Darmowe programy i porady Jelcyna | Tansze zakupy w Helionie | MS Office Blog |