banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?  XML
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 09/08/2009 09:44:10 (+0700) | #1 | 189214
motmang
Member

[Minus]    0    [Plus]
Joined: 31/12/2008 14:55:38
Messages: 13
Offline
[Profile] [PM]
Chào các cao thủ của HVA, Em là thành viên của 4rum đã lâu, nhưng chỉ vào đọc bài ít khi phát biểu. Hôm nay em mạo muội gửi đến các anh, các bạn, mong mọi người giúp em, Số là thế này. Em có làm 1 cái website bằng PHP. Chuyên về rao vặt. có phần upload hình ảnh, đăng tin bằng bộ Editor. 2 ngày nay web của em bị chiếm quyền admin. sau 2 ngày mày mò tìm hiểu (Em chỉ là code nghiệp dư, ko biết 1 tý gì về bảo mật) hỏi han bạn bè, em đã phát hiện ra trên web mình có dính 1 con shell có tên c99madshell.php.jpg. điều đáng nói là nó up lên từ phần upload hình ảnh. nhưng em không hiểu tại sao nó lại chui được vào thư mục upload lên từ phần của admin (Up của clien là vào thư mục khác) và điều làm em tò mò hơn nữa là làm sao nó có thể Run con shell này dưới tên là .php.jpg, quả thực em không hiểu được cách thức này nữa, rất mong các bác giải thích cho em 1 vài điều. và cũng mong giúp em, chỉ cho em cách phòng chống được việc này như thế nào. liệu nó có chèn cái gì vào CSDL của em không? và làm sao để phát hiện và loại bỏ nó. Khẩn cấp mong toàn bộ các bác ở trên này giúp đỡ em. Em xin cảm ơn (Hậu tạ có thể tính sau được hem smilie)
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 09/08/2009 11:11:51 (+0700) | #2 | 189226
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn

vào diễn đàn phpvn để học hỏi thêm nhé bạn

http://www.phpvn.org/

bug:

mặc dù cho phép upload file, nhưng vẫn có filter phần mở rộng của file (file extension), vì thế nếu để shell với phần mở rộng .php thì sẽ bị filter ngay. hacker đã đánh lừa bằng cách đổi file extension thành .php.xxl hoặc .php.jpg, sau đó upload lên. Mặc định file được lưu vào [website]/UserFiles/File/, upload xong run shell với phần đuôi ko phải là .php nhưng shell của hacker vẫn chạy bình thường

fix:

--Chứng thực người dùng (ở đây là Admin)

--các file mặc định dùng để test

--Đổi tên file khi upload

--filter kĩ file extension

PS:hình như bác Quân Vân Trường hack site moet cũng bằng bug này thì phải smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 09/08/2009 18:50:31 (+0700) | #3 | 189264
motmang
Member

[Minus]    0    [Plus]
Joined: 31/12/2008 14:55:38
Messages: 13
Offline
[Profile] [PM]
Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 10/08/2009 06:01:41 (+0700) | #4 | 189322
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]

motmang wrote:
Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều 


mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 10/08/2009 14:55:14 (+0700) | #5 | 189424
motmang
Member

[Minus]    0    [Plus]
Joined: 31/12/2008 14:55:38
Messages: 13
Offline
[Profile] [PM]
sax Nói chuyện như bác thì đúng là huề vốn, em chỉ biết hack local là hack cục bộ (hay nội bộ gì đó) Ngoìa nhiêu đó ra nữa, em biết làm cái gì. làm thế nào em chết liền smilie

holiganvn wrote:

motmang wrote:
Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều 


mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết smilie  
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 10/08/2009 15:12:21 (+0700) | #6 | 189427
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]

motmang wrote:
sax Nói chuyện như bác thì đúng là huề vốn, em chỉ biết hack local là hack cục bộ (hay nội bộ gì đó) Ngoìa nhiêu đó ra nữa, em biết làm cái gì. làm thế nào em chết liền smilie

holiganvn wrote:

motmang wrote:
Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều 


mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết smilie  
 


thế thì thôi vậy smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 11/08/2009 07:53:39 (+0700) | #7 | 189520
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

holiganvn wrote:
site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn

vào diễn đàn phpvn để học hỏi thêm nhé bạn

http://www.phpvn.org/

bug:

mặc dù cho phép upload file, nhưng vẫn có filter phần mở rộng của file (file extension), vì thế nếu để shell với phần mở rộng .php thì sẽ bị filter ngay. hacker đã đánh lừa bằng cách đổi file extension thành .php.xxl hoặc .php.jpg, sau đó upload lên. Mặc định file được lưu vào [website]/UserFiles/File/, upload xong run shell với phần đuôi ko phải là .php nhưng shell của hacker vẫn chạy bình thường
 


Nhờ bạn holiganvn chỉ mình cách làm sao đổi đuôi file từ xxx.php => xxx.php.jpg mà server vẫn thực thi nó như một file php bình thường smilie .

( * ): up được shell trực tiếp rồi thì còn local gì nữa ???

Phần tô đậm cuối bài vẫn là thắc mắc đầu tiên của mình, cậu chỉ giúp smilie
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 11/08/2009 11:51:51 (+0700) | #8 | 189541
tinios
Member

[Minus]    0    [Plus]
Joined: 27/02/2009 18:00:44
Messages: 22
Offline
[Profile] [PM]
em nghĩ người upload con shell đó với mục đích tấn công site khác cùng server với site của anh thôi. có thể người đó chiếm quyền admin thông qua lỗi của trang web
@holiganvn: em vẫn chưa hiểu sh3llc99.php.jpg với đuôi là JPG thì làm sao thực thi được là PHP smilie
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 11/08/2009 12:50:57 (+0700) | #9 | 189546
[Avatar]
learn2hack
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
[Profile] [PM] [WWW]
@canh_nguyen: ko phải là thực thi theo nghĩa thông thường anh à, mà là khi hiển thị hình ảnh thì code PHP trong tấm ảnh đó sẽ được thực thi. Ảnh JPEG có phần meta data, trong đó có phần comments, người tấn công đã chèn code PHP vào phần đó, đó chính là đoạn mã thực thi.

@chủ topic: Bạn có thể làm cách này để hạn chế bớt hậu quả:
- Khi upload file lên thì đổi tên, tốt nhất là random để người tấn công không đoán được tên file, có nghĩa là ko biết được đường dẫn đến file ảnh JPEG
- Khi hiển thị hình ảnh, ko dùng đường dẫn trực tiếp, mà hiển thị thông qua 1 trang PHP trung gian, VD như:

Code:
<img src="http://yourdomain.com/showimage.php?id=xxx


Trong đó ID là mã của ảnh, từ ID này, bạn có thể query database để lấy link của ảnh.

Trong file showimage.php, bạn có thể dùng code PHP để lấy nội dung hình (thông qua GD lib) và dùng Header() để trả lại nội dung ảnh.

Ngoài ra, có 1 cách đơn giản hơn là trong thư mục chứa các file upload, bạn ko cho phép PHP chạy. Chèn dòng này vào file .htaccess của thư mục đó:

Code:
php_flag engine off
">
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 11/08/2009 13:01:02 (+0700) | #10 | 189549
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không smilie
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 11/08/2009 13:20:46 (+0700) | #11 | 189551
tinios
Member

[Minus]    0    [Plus]
Joined: 27/02/2009 18:00:44
Messages: 22
Offline
[Profile] [PM]
ko phải là thực thi theo nghĩa thông thường anh à, mà là khi hiển thị hình ảnh thì code PHP trong tấm ảnh đó sẽ được thực thi. Ảnh JPEG có phần meta data, trong đó có phần comments, người tấn công đã chèn code PHP vào phần đó, đó chính là đoạn mã thực thi.  

vậy khi thực thi bức ảnh nó sẽ thực thi phần comments trước ak anh như vậy shell mới chạy được chớ
smilie
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 11/08/2009 13:44:02 (+0700) | #12 | 189555
m3onh0x84
Member

[Minus]    0    [Plus]
Joined: 29/11/2007 15:22:21
Messages: 467
Location: lang thang 4 biển
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN]
Em nghe giông giống kiểu này, k0 biết có đúng k0 nữa smilie
http://www.guru.net.vn/CategoryView.aspx?category=Hack
1/ LÀM ƠN "Đọc kĩ hướng dẫn sử dụng trước khi dùng".
2/homepage: trước khi hỏi thì LÀM ƠN tìm kiếm. Vì để biết nhiều hơn thì ai cũng phải đọc "VỪNG ƠI MỞ RA"
Hỏi FAQ thì lên asking.vn mà hỏi
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 12/08/2009 12:24:30 (+0700) | #13 | 189671
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]

canh_nguyen wrote:
learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không smilie
 


hình như có dùng 1 soft nào đó nhét đoạn code sh3ll vào hoặc nếu không thì code php rồi cho nó tự download sh3ll về server,để em tìm lại đã

@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 12/08/2009 12:49:18 (+0700) | #14 | 189678
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

holiganvn wrote:

canh_nguyen wrote:
learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không smilie
 


hình như có dùng 1 soft nào đó nhét đoạn code sh3ll vào hoặc nếu không thì code php rồi cho nó tự download sh3ll về server,để em tìm lại đã

@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion smilie  


Không cần tìm lại đâu cậu search luôn key này cho nhanh : edjpgcom. Mà thực ra để chèn thì không cần thiết phải soft này, dùng photoshop hoặc một số phần mềm edit ảnh cũng làm được.

Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?

Mà cậu cứ nhắc đi nhắc lại local làm gì thế ? Ở đây chủ topic đang bị tấn công kiểu gì mà cậu cứ lôi local vào vậy ?
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 12/08/2009 13:43:19 (+0700) | #15 | 189689
[Avatar]
vnkimlong
Member

[Minus]    0    [Plus]
Joined: 30/08/2007 13:53:14
Messages: 67
Offline
[Profile] [PM]
Cái này tùy server, nhưng hiện nay server chạy được file dạng *.php.jpg không còn nhiều (có thể gọi là rất hiếm).
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 12/08/2009 16:30:11 (+0700) | #16 | 189708
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
@canh_nguyen:

em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 12/08/2009 20:18:01 (+0700) | #17 | 189729
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

holiganvn wrote:
@canh_nguyen:

em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục smilie  


Hình như cậu nói nhưng không nghĩ hay sao ấy nhỉ ?
Để mình trích lại một số bài của cậu nhé :

holiganvn wrote:

site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn  

holiganvn wrote:

mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết
 

holiganvn wrote:

@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion smilie
 


Đọc lại xem có phải do chính mình viết không nhé smilie

Hơn nữa cậu lại cố tình vòng vèo không đi vào vấn đề chính mà cậu là người nói ra là sau khi chèn code php vào file ảnh thì cậu thực thi nó thế nào ?
Mình lại phải copy lại câu hỏi từ post trước :
Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?  
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 13/08/2009 09:36:21 (+0700) | #18 | 189780
motmang
Member

[Minus]    0    [Plus]
Joined: 31/12/2008 14:55:38
Messages: 13
Offline
[Profile] [PM]
Hay em cũng thắc mắc đúng câu này. Vậy mà chẳng thấy các bác giải thích cứ nói vòng vo làm em chẳng hiểu cái gì lại cái gì cả smilie. đề nghị các bác không bàn đến vấn đề cao siêu, chỉ giải thích giùp em tại sao có thể thực thi đc con shell đó. Xin chân thành cảm ơn. smilie

canh_nguyen wrote:

Hơn nữa cậu lại cố tình vòng vèo không đi vào vấn đề chính mà cậu là người nói ra là sau khi chèn code php vào file ảnh thì cậu thực thi nó thế nào ?
Mình lại phải copy lại câu hỏi từ post trước :
Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?  
 
[Up] [Print Copy]
  [Question]   giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh? 13/08/2009 14:27:32 (+0700) | #19 | 189828
[Avatar]
newbieonnix
Member

[Minus]    0    [Plus]
Joined: 25/04/2009 12:20:35
Messages: 13
Offline
[Profile] [PM]

holiganvn wrote:
@canh_nguyen:

em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục smilie  


Bác nói nên suy nghĩ kĩ hơn hãy nói canh_nguyen "hỏi" cho ra vấn đề thôi chứ không người đọc lại tưởng bạn holigan nói đúng mà hiểu bậy thì sao smilie.

Chèn code vào phần commnet của file ảnh chỉ dùng trong lfi thôi chứ chưa thấy ai chạy được với shell.php.jpg với apache mới như hiện giờ smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|