Взлом базы данных из-за LFI

Наверное ни для кого не секрет, что плохой код может привести к печальным последствиям. Особенно это касается сайтов. Недавно, читая статью о том, какие ошибки делают PHP-программисты, и какие уязвимости от этого появляются на сайте, наткнулся на Local File Inclusion. Меня эта уязвимость очень заинтересовала и я решил что-то поломатьпо-подробней изучить её.

После не долгих поисков наодном из форумов нашел ссылку на немецкий сайт http://www.gamecaptain.de. Сразу были замечены интересные параметры в адресной строке

image

Попробуем что-то из этого извлечь. Для начала получим исходный код index.php

image

Мы использовали преобразовывающие фильтры. Пара движений и…

image

… исходный код файла у нас!

Разберем, что у нас в этом файле. Сразу начал искать участок, в котором немецкие программисты допустили ошибку. Поиски были недолгие


if(!isset($file)) {
if(isset($_POST["file"])) {
$file = $_POST["file"];
} else if (isset($_GET["file"])) {
$file = $_GET["file"];
} else {
if(!isset($sitearea) || $sitearea == "Magazin") {
$file="aktuell.php";
} else {
$file="aktuell_downloads.php";
}
}
}


Еще один яркий пример того, как не надо подключать файлы.

Дальше, конечно, я начал искать файл с соединением с базой данных. Очевидно, что это строчка

require("includes/connect.inc.php");

Проделываем ту же операцию, которую мы делали для index.php, для includes/connect.inc.php

image

декодируем полученый base-64 набор символов и получаем информацию для подключения к базе данных

image

Коннектимся…

image

Всё!
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 16

    +8
    Вы, конечно же, дождались ответа администрации перед созданием поста?
      +2
      видимо нет:) дыра работает
        +4
        Завтра на этом ресурсе будут писать о толпе русских хакеров, атаковавших сайт.
          +3
          завтра этого сайта скорей всего не будет)
            +2
            Его уже настиг хабраэффект
              +2
              Печально
            +1
            А так же международный скандал, все новостные порталы пишут о начале кибервойны «Россия — Германия 2012.»
            +2
            Ну, зато честно пароль замазал :)
            –2
            Честно признаюсь, нет. Так как прошло где-то 5 месяцев
              +1
              уязвимость не сообщай @ людям открывай! Наш подход!
            +5
            Банальный взлом. Я бы почитал что-то более интересное.
            С таким материалом на античат.
              +4
              Не минусуйте человека, это топик из песочницы. Человек еще не знаком с традициями хабра. Перспективный кадр же.
                +3
                Хотя мне еще до сих пор непонятно, почему сайт с такой дырой до сих пор еще жив.

                Потому что кто-то может незаметно сливать, как вы, базу данных. Нет смысла ломать сайт ради того, чтобы показать другим (особенно владельцу), что он дырявый и в будущем эту дыру залатают.
                  +3
                  Ага, пора дефейсов прошла.
                  Лучше залить нужный скриптик и сделать сервер частью ботнета. Или сливать трафик фреймом.
                  И сделать это наиболее незаметно, чтобы как можно дольше прожили скрипты.
                    0
                    свою рекламу подставить, автозалив вируса или дорвей — помоему лучше
                  0
                  Ответ админа сайта:

                  «Someone has posted a „how to hack GameCaptain.de“ on your site. Actually someone used it and killed our Database. But still there are running Attacks slowing down my website…

                  So I would kindly ask you to kill this thread habrahabr.ru/post/144455/

                  Bye».

                  Нехорошо, НЛО решило убрать пост в черновики )

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое