توضیح درباره یک سایت هک شده

mohsenshahab · ۱۳۸۷ بهمن ۲۲, ۰۵:۰۱ ق.ظ

سلام
می خوام در مورد یک سایت که دیروز هک شد باهاتون مشورت کنم.البته سوالم رو تو یه سایت دیگه مطرح کردم ولی انگار کاربراش از خودم ناشی تر هستن Smile

به هر حال اینجا عضو شدم و ...
اما سایت www.mrmobile.ir رو که من نوشته بودم دیروز هک کردم.
اگه صفحه اصلی رو ببینین متوجه میشین که ارتباط با دیتابیس رو قطع کردن(اینجور که من متوجه شدم
نکته جالب اینه که فایل config دستکاری نشده و صفحه index رو هم که حذف می کنم باز از دسترس خارج نمیشه
مساله بعدی اینکه از طریق دایرکت ادمین نمیتونم به phpmyadmin دسترسی پیدا کنم .یعنی دسترسیم به myadmin رو قطع کرده
یکی از دوستان می گفت که این sqlinjection attack هست.ولی من فکر نمیکنم.
چون من تمام ورودی و خروجی ها رو فیلتر کرده بودم( شاید هم درست فیلتر نکردم)
این هکر نامحترم به تیبل ادمین دسترسی پیدا کرده( اینو مطمئنم) و همه رو نابود کرده
حالا از چه طریقی .من حدس میزنم
1- از طریق سشن ها /چون سشن هام امن نبودن
2- از طریق xss و ضغف ناشی از ارسال اطلاعاتم به وسیله get
این رو نوشته و به کار برده

نقل قول:
mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x2 0,0x20,0x2d,0x3e,pass),null,null,null,null,null%20 from%20login_22

حالا از شما می خوام که به من کمک کنین و منو راهنمایی کنین.من اول می خواستم این سوال رو تو ی انجمن هکرها مطرح کنم ولی چون از این جماعت متنفرم تصمیم گرفتم که اینجا مطرح کنم.
اگه چیزی به نظرم اومد اینجا مطرح میکنم
این بود اولین پست من Tongue

**molana** · ۱۳۸۷ بهمن ۲۲, ۰۳:۵۳ ب.ظ

از کجا می دونی این نوشته رو به کار برده؟
مطمئنی؟

mohsenshahab · ۱۳۸۷ بهمن ۲۲, ۰۵:۱۰ ب.ظ

دقیقا دوست عزیز مطمئنم .

**Alimokhlesi** · ۱۳۸۷ بهمن ۲۳, ۱۱:۴۸ ق.ظ

می دونید Union تو دستورات SQL چی کار میکنه ؟
میشه گفت شما رو از طریق نوعی SqlInjection هک کردن.
با Union میشه حدس زد اسم جدول اعضا تو سایت شما چیه . بعد به سادگی اطلاعات اون رو لود کرد و یا در کنار اون همه رو حذف کرد.
شما باید ورودی های _GET رو از نظر نو ع عددی یا غیر عددی بودن چک کنید .
بعضی جاها لازمه از Type Safe بودن برنامه مطمئن بشیم.
یکیش همینجاست .
http://dev.mysql.com/doc/refman/5.1/en/s...tions.html

http://dev.mysql.com/doc/refman/5.0/en/union.html
خیلی وقت پیش بود آموزش هک یه سایت و از یو تیوب با Union دیده بودم.

http://www.youtube.com/watch?v=lw85hqkvi-s
امید وارم مفید واقع بشه

**molana** · ۱۳۸۷ بهمن ۲۳, ۱۲:۲۵ ب.ظ

چرا این کدی رو که دوستمون نوشته، من تو سایت خودم وارد کردم و کار نکرد؟

**Y.P.Y**

شما خودتون دارید میگید مطمعن هستید که اینو نوشته/اجرا کرده:
mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x2 0,0x20,0x2d,0x3e,pass),null,null,null,null,null%20 from%20login_22
بعد می پرسید از چه طریقی بوده؟
طبیعتاً این نه Session هستش، نه XSS/CSS، نه غیره... SQL injection concatenation هستش: concat(user2,0x2 0,0x20,0x2d,0x3e,pass) from login_22

ورود




مرا به‌خاطر بسپار. فراموشی رمزعبور