Gå til innhold

Automatisk utføre nor når en går inn på siden?

Thor.

Av Thor.
i Programmering og webutvikling

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
mikk-

mikk-

Skrevet
Skrevet

Kommandoer? Hva mener du?

 

Utføre en kommando i PHP eller HTML? Mener du at man skal kjøre en kommando lokalt på klientens (brukerens) maskin når han åpner websiden? Det er isåfall ikke mulig i PHP. HTML er ikke et programmeringsspråk hvor det går an å kjøre kommandoer, men et markupspråk. JavaScript kan kjøre kommandoer (script) på klientmaskinen.

 

Om du mener kommandoer på serversiden, kan du kjøre vanlige kommandoer gjennom PHP. Du kan for eksempel kjøre programmer gjennom exec().

 

Kan du forklare litt nærmere?

Lenke til kommentar
Thor.

Thor.

Skrevet
  • Forfatter
Skrevet

Altså. Det er et PHP basert nettspill som det ryktes at noen har klart å utnytte en "feil" som da gjør at offeret får sendt vekk alle pengene han har... Dette vil jeg da finne ut av. Jeg kommer ikke til og utnytte feilen på noe måte. Bare fortelle admin hvordan det utnyttes (om det er en feil da).

Lenke til kommentar
Gjest Slettet+6132

Gjest Slettet+6132

Skrevet
Skrevet (endret)
Altså. Det er et PHP basert nettspill som det ryktes at noen har klart å utnytte en "feil" som da gjør at offeret får sendt vekk alle pengene han har... Dette vil jeg da finne ut av. Jeg kommer ikke til og utnytte feilen på noe måte. Bare fortelle admin hvordan det utnyttes (om det er en feil da).

5357506[/snapback]

 

Og hva vil du frem til da? Gi oss eksempler sier vi, hva vil du skal utføres når du gjør hva?

Endret av Slettet+6132
Lenke til kommentar
mikk-

mikk-

Skrevet
Skrevet

Ok, da skjønner jeg litt mer. Jeg mente ikke å være frekk, men du var nokså uklar i problemframstillingen.

 

Jeg regner med at du er administrator på dette systemet?

 

Om så, foreslår jeg at du går gjennom prosedyren for kontroll av PM-ene som sendes. Du har vel helst også mulighet til å skjekke alle PM-ene som er sendt. Det finnes ikke noe måte å direkte starte selvskrevne PHP-scripts på serveren. Da må man i så fall ha lastet dette opp på serveren først.

Lenke til kommentar
Thor.

Thor.

Skrevet
  • Forfatter
Skrevet

ok... Nei er ikke admin eller noe slikt men jeg jobber med å finne bugs. Jeg har rapportert minst 5 store feil på servern. Det ser ut til at det er minst 3 offer for slike PM er. For å komme litt klarere frem er det å automatisk sende informasjon når "offeret" leser PM en som "overfør xx penger til ...". Høres det sansynlig ut at slikt er mulig?

Lenke til kommentar
mikk-

mikk-

Skrevet
Skrevet

Det ville være rart om PHP-kode som brukeren skriver i en PM blir tolket som PHP-kode av serveren og dermed brukt. Du kan jo skjekke dette enkelt ved å skrive en PM med phpinfo();. Dersom du får fram en tabell med informasjon om serveren, bør det gjøres noe alvorlig med sikkerheten på den siden.

 

Har likevel vanskelig for å tro at noe slikt kunne skje. Tror det er mer sannsynlig at brukerene har funnet en bug som de utnytter.

Lenke til kommentar
Steinmann

Steinmann

Skrevet
Skrevet

det som kan ha skjedd er at han som sender disse har gjemmt sql kode i pm'n og også klart å få denne til å bli tolket som sql når beskjeden lagres på serveren. Da kan man si til sql serveren at pengene skal flyttes.

Har sett en del inloggins script som har denne feilen og tillater at en bruker kan opprette en konto i inlogginsfeltet med:

Per'"insert into user..."'

Lenke til kommentar
Thor.

Thor.

Skrevet
  • Forfatter
Skrevet
Det ville være rart om PHP-kode som brukeren skriver i en PM blir tolket som PHP-kode av serveren og dermed brukt. Du kan jo skjekke dette enkelt ved å skrive en PM med phpinfo();. Dersom du får fram en tabell med informasjon om serveren, bør det gjøres noe alvorlig med sikkerheten på den siden.

 

Har likevel vanskelig for å tro at noe slikt kunne skje. Tror det er mer sannsynlig at brukerene har funnet en bug som de utnytter.

5357877[/snapback]

Sendte en pm med teksten phpinfo() ... Det ga ikke noe resultat. Betyr det at serveren er 100% safe? Det er også en svakhet på sidene deres... Du trenger ikke bekrefte passordet ditt for å få endret passord. Kan det være det de utnytter?

orsus: Tror det er noe slikt som skjer ja.

Kom på en ting.. Fikk en pm fra en fyr som linka meg til: http://tinyurl.com/****.

Når jeg gikk inn på den siden så ble jeg sendt til en merkelig adresse...

/index.php?side=pm_svar&fra=espinola&emne=R%27%22%3E%3E%20%3Cscript%3Ea%20=%20String.fromCharCode(118,97,114,32,115,32,61,32,102,97,108,115,101,59,10,102,117,110,99,116,105,111,110,32,109,97,107,101,82,101,113,117,101,115,116,50,40,117,114,108,41,10,123,10,115,32,61,32,102,97,108,115,101,59,10,105,102,32,40,119,105,110,100,111,119,46,88,77,76,72,116,116,112,82,101,113,117,101,115,116,41,32,123,10,115,32,61,32,110,101,119,32,39,41,59,10,125,10,115,101,116,84,105,109,101,111,117,116,40,103,111,40,41,44,32,34,49,48,48,48,34,41,59);eval(a);%3C/script%3E

 

Koden var 10 ganger lengre (jeg kuttet den ned). Klarer dere å se hva dette er?

Lenke til kommentar
Gjest Slettet+6132

Gjest Slettet+6132

Skrevet
Skrevet (endret)
Det fant jeg ut... Jeg har nå sendt 40 millioner mafiapenger til en død spiller... utrolig surt

5358468[/snapback]

 

Hvis du ser så skjer det noe i "emne=masse rar kode som utfører faenskap"

 

Hør med administratorene hvordan de tar imot emne-variabelen.

 

EDIT: ser det er en eval() inni den koden der, eval er ikke til å spøke med ;)

Altså, for å være mer nøyaktig genereres det noe kode som blir kjørt når du klikker på linken. En veldig seriøs bug.

Endret av Slettet+6132
Lenke til kommentar
PT

PT

Skrevet
Skrevet
Sendte en pm med teksten phpinfo() ... Det ga ikke noe resultat. Betyr det at serveren er 100% safe? Det er også en svakhet på sidene deres... Du trenger ikke bekrefte passordet ditt for å få endret passord. Kan det være det de utnytter?

orsus: Tror det er noe slikt som skjer ja.

Kom på en ting.. Fikk en pm fra en fyr som linka meg til: http://tinyurl.com/****.

Når jeg gikk inn på den siden så ble jeg sendt til en merkelig adresse...

/index.php?side=pm_svar&fra=espinola&emne=R%27%22%3E%3E%20%3Cscript%3Ea%20=%20String.fromCharCode(118,97,114,32,115,32,61,32,102,97,108,115,101,59,10,102,117,110,99,116,105,111,110,32,109,97,107,101,82,101,113,117,101,115,116,50,40,117,114,108,41,10,123,10,115,32,61,32,102,97,108,115,101,59,10,105,102,32,40,119,105,110,100,111,119,46,88,77,76,72,116,116,112,82,101,113,117,101,115,116,41,32,123,10,115,32,61,32,110,101,119,32,39,41,59,10,125,10,115,101,116,84,105,109,101,111,117,116,40,103,111,40,41,44,32,34,49,48,48,48,34,41,59);eval(a);%3C/script%3E

 

Koden var 10 ganger lengre (jeg kuttet den ned). Klarer dere å se hva dette er?

5358406[/snapback]

Det som står i den URLen der er følgende:

index.php?side=pm_svar&fra=espinola&emne=R'">> <script>a = var s = false; function makeRequest2(url) { s = false; if (window.XMLHttpRequest) { s = new '); } setTimeout(go(), "1000");eval(a);</script>

Emnefeltet settes til å inneholde et JavaScript som så utføres med eval(a).

 

Alle tallene (118,97+++) kan du finne ut hva er med denne PHP-funksjonen:

<?php
function fromCharCode() {
$array	=	func_get_args();

foreach($array as $a) {
 $char	.=	chr($a);
}

return $char;
}
echo fromCharCode(118, 97, osv); // Brukes slik
?>

Det du postet var altså et JS, kamuflert for å skjule hva det egentlig gjør. De færreste reagerer nemlig på en lang og kryptisk URL.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...