• 1 رای - 3 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
توضیح درباره یک سایت هک شده
#1
سلام
می خوام در مورد یک سایت که دیروز هک شد باهاتون مشورت کنم.البته سوالم رو تو یه سایت دیگه مطرح کردم ولی انگار کاربراش از خودم ناشی تر هستن Smile
به هر حال اینجا عضو شدم و ...
اما سایت www.mrmobile.ir رو که من نوشته بودم دیروز هک کردم.
اگه صفحه اصلی رو ببینین متوجه میشین که ارتباط با دیتابیس رو قطع کردن(اینجور که من متوجه شدم
نکته جالب اینه که فایل config دستکاری نشده و صفحه index رو هم که حذف می کنم باز از دسترس خارج نمیشه
مساله بعدی اینکه از طریق دایرکت ادمین نمیتونم به phpmyadmin دسترسی پیدا کنم .یعنی دسترسیم به myadmin رو قطع کرده
یکی از دوستان می گفت که این sqlinjection attack هست.ولی من فکر نمیکنم.
چون من تمام ورودی و خروجی ها رو فیلتر کرده بودم( شاید هم درست فیلتر نکردم)
این هکر نامحترم به تیبل ادمین دسترسی پیدا کرده( اینو مطمئنم) و همه رو نابود کرده
حالا از چه طریقی .من حدس میزنم
1- از طریق سشن ها /چون سشن هام امن نبودن
2- از طریق xss و ضغف ناشی از ارسال اطلاعاتم به وسیله get
این رو نوشته و به کار برده
نقل قول:
mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x2 0,0x20,0x2d,0x3e,pass),null,null,null,null,null%20 from%20login_22
حالا از شما می خوام که به من کمک کنین و منو راهنمایی کنین.من اول می خواستم این سوال رو تو ی انجمن هکرها مطرح کنم ولی چون از این جماعت متنفرم تصمیم گرفتم که اینجا مطرح کنم.
اگه چیزی به نظرم اومد اینجا مطرح میکنم
این بود اولین پست من Tongue
  پاسخ
تشکر شده توسط :
#2
از کجا می دونی این نوشته رو به کار برده؟
مطمئنی؟
همه جوره اش رو داریم ظاهرن
  پاسخ
تشکر شده توسط :
#3
دقیقا دوست عزیز مطمئنم .
  پاسخ
تشکر شده توسط :
#4
می دونید Union تو دستورات SQL چی کار میکنه ؟
میشه گفت شما رو از طریق نوعی SqlInjection هک کردن.
با Union میشه حدس زد اسم جدول اعضا تو سایت شما چیه . بعد به سادگی اطلاعات اون رو لود کرد و یا در کنار اون همه رو حذف کرد.
شما باید ورودی های _GET رو از نظر نو ع عددی یا غیر عددی بودن چک کنید .
بعضی جاها لازمه از Type Safe بودن برنامه مطمئن بشیم.
یکیش همینجاست .
http://dev.mysql.com/doc/refman/5.1/en/s...tions.html

http://dev.mysql.com/doc/refman/5.0/en/union.html
خیلی وقت پیش بود آموزش هک یه سایت و از یو تیوب با Union دیده بودم.

http://www.youtube.com/watch?v=lw85hqkvi-s
امید وارم مفید واقع بشه
علم تاج افتخار دنیا و یادگار پس از مرگ است
  پاسخ
تشکر شده توسط : molana admin scooter
#5
چرا این کدی رو که دوستمون نوشته، من تو سایت خودم وارد کردم و کار نکرد؟
همه جوره اش رو داریم ظاهرن
  پاسخ
تشکر شده توسط :
#6
شما خودتون دارید میگید مطمعن هستید که اینو نوشته/اجرا کرده:
mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x2 0,0x20,0x2d,0x3e,pass),null,null,null,null,null%20 from%20login_22
بعد می پرسید از چه طریقی بوده؟
طبیعتاً این نه Session هستش، نه XSS/CSS، نه غیره... SQL injection concatenation هستش: concat(user2,0x2 0,0x20,0x2d,0x3e,pass) from login_22
وبلاگ: Yousha.Blog.ir

صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
http://gulfnews.com/opinion/thinkers/ira...i-1.500997
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان