انجمن ایران پی اچ پی   ›   پی اچ پی/PHP   ›   امنیت   ›   توضیح درباره یک سایت هک شده

  • 1 رای - 3 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
توضیح درباره یک سایت هک شده
mohsenshahab
عضو جدید
**

تاریخ عضویت: ۱۳۸۷ بهمن ۲۲
ارسال‌ها: 13

اعتبار: 0
تشکرها : 1
( 0 تشکر در 0 ارسال )
#1
۱۳۸۷ بهمن ۲۲, ۰۵:۰۱ ق.ظ
سلام
می خوام در مورد یک سایت که دیروز هک شد باهاتون مشورت کنم.البته سوالم رو تو یه سایت دیگه مطرح کردم ولی انگار کاربراش از خودم ناشی تر هستن Smile
به هر حال اینجا عضو شدم و ...
اما سایت www.mrmobile.ir رو که من نوشته بودم دیروز هک کردم.
اگه صفحه اصلی رو ببینین متوجه میشین که ارتباط با دیتابیس رو قطع کردن(اینجور که من متوجه شدم
نکته جالب اینه که فایل config دستکاری نشده و صفحه index رو هم که حذف می کنم باز از دسترس خارج نمیشه
مساله بعدی اینکه از طریق دایرکت ادمین نمیتونم به phpmyadmin دسترسی پیدا کنم .یعنی دسترسیم به myadmin رو قطع کرده
یکی از دوستان می گفت که این sqlinjection attack هست.ولی من فکر نمیکنم.
چون من تمام ورودی و خروجی ها رو فیلتر کرده بودم( شاید هم درست فیلتر نکردم)
این هکر نامحترم به تیبل ادمین دسترسی پیدا کرده( اینو مطمئنم) و همه رو نابود کرده
حالا از چه طریقی .من حدس میزنم
1- از طریق سشن ها /چون سشن هام امن نبودن
2- از طریق xss و ضغف ناشی از ارسال اطلاعاتم به وسیله get
این رو نوشته و به کار برده
نقل قول:
mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x2 0,0x20,0x2d,0x3e,pass),null,null,null,null,null%20 from%20login_22
حالا از شما می خوام که به من کمک کنین و منو راهنمایی کنین.من اول می خواستم این سوال رو تو ی انجمن هکرها مطرح کنم ولی چون از این جماعت متنفرم تصمیم گرفتم که اینجا مطرح کنم.
اگه چیزی به نظرم اومد اینجا مطرح میکنم
این بود اولین پست من Tongue
  ارسال‌ها
  پاسخ
تشکر شده توسط :
molana
چالیست - chalist
*******

تاریخ عضویت: ۱۳۸۷ آذر ۳۰
ارسال‌ها: 1,793

اعتبار: 64
تشکرها : 1652
( 1594 تشکر در 1046 ارسال )
#2
۱۳۸۷ بهمن ۲۲, ۰۳:۵۳ ب.ظ
از کجا می دونی این نوشته رو به کار برده؟
مطمئنی؟
همه جوره اش رو داریم ظاهرن
  وب‌سایت   ارسال‌ها
  پاسخ
تشکر شده توسط :
mohsenshahab
عضو جدید
**

تاریخ عضویت: ۱۳۸۷ بهمن ۲۲
ارسال‌ها: 13

اعتبار: 0
تشکرها : 1
( 0 تشکر در 0 ارسال )
#3
۱۳۸۷ بهمن ۲۲, ۰۵:۱۰ ب.ظ
دقیقا دوست عزیز مطمئنم .
  ارسال‌ها
  پاسخ
تشکر شده توسط :
Alimokhlesi
مدیر کل
**********

تاریخ عضویت: ۱۳۸۷ آذر ۲۵
ارسال‌ها: 456

اعتبار: 13
تشکرها : 601
( 1128 تشکر در 412 ارسال )
#4
۱۳۸۷ بهمن ۲۳, ۱۱:۴۸ ق.ظ
می دونید Union تو دستورات SQL چی کار میکنه ؟
میشه گفت شما رو از طریق نوعی SqlInjection هک کردن.
با Union میشه حدس زد اسم جدول اعضا تو سایت شما چیه . بعد به سادگی اطلاعات اون رو لود کرد و یا در کنار اون همه رو حذف کرد.
شما باید ورودی های _GET رو از نظر نو ع عددی یا غیر عددی بودن چک کنید .
بعضی جاها لازمه از Type Safe بودن برنامه مطمئن بشیم.
یکیش همینجاست .
http://dev.mysql.com/doc/refman/5.1/en/s...tions.html

http://dev.mysql.com/doc/refman/5.0/en/union.html
خیلی وقت پیش بود آموزش هک یه سایت و از یو تیوب با Union دیده بودم.

http://www.youtube.com/watch?v=lw85hqkvi-s
امید وارم مفید واقع بشه
علم تاج افتخار دنیا و یادگار پس از مرگ است
  وب‌سایت   ارسال‌ها
  پاسخ
تشکر شده توسط : molana admin scooter
molana
چالیست - chalist
*******

تاریخ عضویت: ۱۳۸۷ آذر ۳۰
ارسال‌ها: 1,793

اعتبار: 64
تشکرها : 1652
( 1594 تشکر در 1046 ارسال )
#5
۱۳۸۷ بهمن ۲۳, ۱۲:۲۵ ب.ظ
چرا این کدی رو که دوستمون نوشته، من تو سایت خودم وارد کردم و کار نکرد؟
همه جوره اش رو داریم ظاهرن
  وب‌سایت   ارسال‌ها
  پاسخ
تشکر شده توسط :
Y.P.Y
ناظم کل
*******

تاریخ عضویت: ۱۳۸۷ دى ۲۸
ارسال‌ها: 2,720

اعتبار: 107
تشکرها : 2220
( 4972 تشکر در 2275 ارسال )
#6
۱۳۸۷ بهمن ۲۳, ۰۴:۱۸ ب.ظ (آخرین تغییر در ارسال: ۱۳۹۵ شهریور ۳۱, ۰۵:۵۴ ب.ظ توسط Y.P.Y.)
شما خودتون دارید میگید مطمعن هستید که اینو نوشته/اجرا کرده:
mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x2 0,0x20,0x2d,0x3e,pass),null,null,null,null,null%20 from%20login_22
بعد می پرسید از چه طریقی بوده؟
طبیعتاً این نه Session هستش، نه XSS/CSS، نه غیره... SQL injection concatenation هستش: concat(user2,0x2 0,0x20,0x2d,0x3e,pass) from login_22
وبلاگ: Yousha.Blog.ir


کد کمتر => خطای کمتر => قابل فهمتر => خوانایی بیشتر => نگهداری بهتر
  وب‌سایت   ارسال‌ها
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان