giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	09/08/2009 09:44:10 (+0700) \| #1 \| 189214

motmang
Member

Joined: 31/12/2008 14:55:38
Messages: 13
Offline

Chào các cao thủ của HVA, Em là thành viên của 4rum đã lâu, nhưng chỉ vào đọc bài ít khi phát biểu. Hôm nay em mạo muội gửi đến các anh, các bạn, mong mọi người giúp em, Số là thế này. Em có làm 1 cái website bằng PHP. Chuyên về rao vặt. có phần upload hình ảnh, đăng tin bằng bộ Editor. 2 ngày nay web của em bị chiếm quyền admin. sau 2 ngày mày mò tìm hiểu (Em chỉ là code nghiệp dư, ko biết 1 tý gì về bảo mật) hỏi han bạn bè, em đã phát hiện ra trên web mình có dính 1 con shell có tên c99madshell.php.jpg. điều đáng nói là nó up lên từ phần upload hình ảnh. nhưng em không hiểu tại sao nó lại chui được vào thư mục upload lên từ phần của admin (Up của clien là vào thư mục khác) và điều làm em tò mò hơn nữa là làm sao nó có thể Run con shell này dưới tên là .php.jpg, quả thực em không hiểu được cách thức này nữa, rất mong các bác giải thích cho em 1 vài điều. và cũng mong giúp em, chỉ cho em cách phòng chống được việc này như thế nào. liệu nó có chèn cái gì vào CSDL của em không? và làm sao để phát hiện và loại bỏ nó. Khẩn cấp mong toàn bộ các bác ở trên này giúp đỡ em. Em xin cảm ơn (Hậu tạ có thể tính sau được hem smilie

)

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	09/08/2009 11:11:51 (+0700) \| #2 \| 189226

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn

vào diễn đàn phpvn để học hỏi thêm nhé bạn

http://www.phpvn.org/

bug:

mặc dù cho phép upload file, nhưng vẫn có filter phần mở rộng của file (file extension), vì thế nếu để shell với phần mở rộng .php thì sẽ bị filter ngay. hacker đã đánh lừa bằng cách đổi file extension thành .php.xxl hoặc .php.jpg, sau đó upload lên. Mặc định file được lưu vào [website]/UserFiles/File/, upload xong run shell với phần đuôi ko phải là .php nhưng shell của hacker vẫn chạy bình thường

fix:

--Chứng thực người dùng (ở đây là Admin)

--các file mặc định dùng để test

--Đổi tên file khi upload

--filter kĩ file extension

PS:hình như bác Quân Vân Trường hack site moet cũng bằng bug này thì phải smilie

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	09/08/2009 18:50:31 (+0700) \| #3 \| 189264

motmang
Member

Joined: 31/12/2008 14:55:38
Messages: 13
Offline

Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	10/08/2009 06:01:41 (+0700) \| #4 \| 189322

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

motmang wrote:

Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều

mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết smilie

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	10/08/2009 14:55:14 (+0700) \| #5 \| 189424

motmang
Member

Joined: 31/12/2008 14:55:38
Messages: 13
Offline

sax Nói chuyện như bác thì đúng là huề vốn, em chỉ biết hack local là hack cục bộ (hay nội bộ gì đó) Ngoìa nhiêu đó ra nữa, em biết làm cái gì. làm thế nào em chết liền smilie

holiganvn wrote:

motmang wrote:

Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều

mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	10/08/2009 15:12:21 (+0700) \| #6 \| 189427

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

motmang wrote:

sax Nói chuyện như bác thì đúng là huề vốn, em chỉ biết hack local là hack cục bộ (hay nội bộ gì đó) Ngoìa nhiêu đó ra nữa, em biết làm cái gì. làm thế nào em chết liền

holiganvn wrote:

motmang wrote:

Cảm ơn bác đã giúp đỡ, em đã tìm đc con shell đó. đã khóa lại phần upload, đã encode file config, đã quét lại các tập tin. Như vậy site của em còn gặp nguy hiểm nữa không? Điều làm em thắc mắc và tò mò ở đây là vấn đề như thế này. Hacker up 1 con shell lên site em. Vậy làm sao có thể biết chính xác đường dẫn của con shell đó nằm ở đâu để gõ vào ?rõ ràng em biết có biết được như vậy mới là hacker. Nhưng thật sự em không hiểu đc cơ chế này. Mong các bác giải thích cho em thêm một lần nữa. Xin cảm ơn rất nhiều

mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết

thế thì thôi vậy smilie

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	11/08/2009 07:53:39 (+0700) \| #7 \| 189520

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

holiganvn wrote:

site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn

vào diễn đàn phpvn để học hỏi thêm nhé bạn

http://www.phpvn.org/

bug:

mặc dù cho phép upload file, nhưng vẫn có filter phần mở rộng của file (file extension), vì thế nếu để shell với phần mở rộng .php thì sẽ bị filter ngay. hacker đã đánh lừa bằng cách đổi file extension thành .php.xxl hoặc .php.jpg, sau đó upload lên. Mặc định file được lưu vào [website]/UserFiles/File/, upload xong run shell với phần đuôi ko phải là .php nhưng shell của hacker vẫn chạy bình thường

Nhờ bạn holiganvn chỉ mình cách làm sao đổi đuôi file từ xxx.php => xxx.php.jpg mà server vẫn thực thi nó như một file php bình thường smilie

.

( * ): up được shell trực tiếp rồi thì còn local gì nữa ???

Phần tô đậm cuối bài vẫn là thắc mắc đầu tiên của mình, cậu chỉ giúp smilie

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	11/08/2009 11:51:51 (+0700) \| #8 \| 189541

tinios
Member

Joined: 27/02/2009 18:00:44
Messages: 22
Offline

em nghĩ người upload con shell đó với mục đích tấn công site khác cùng server với site của anh thôi. có thể người đó chiếm quyền admin thông qua lỗi của trang web
@holiganvn: em vẫn chưa hiểu sh3llc99.php.jpg với đuôi là JPG thì làm sao thực thi được là PHP smilie

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	11/08/2009 12:50:57 (+0700) \| #9 \| 189546

learn2hack
Elite Member

Joined: 29/06/2006 16:32:37
Messages: 825
Offline

@canh_nguyen: ko phải là thực thi theo nghĩa thông thường anh à, mà là khi hiển thị hình ảnh thì code PHP trong tấm ảnh đó sẽ được thực thi. Ảnh JPEG có phần meta data, trong đó có phần comments, người tấn công đã chèn code PHP vào phần đó, đó chính là đoạn mã thực thi.

@chủ topic: Bạn có thể làm cách này để hạn chế bớt hậu quả:
- Khi upload file lên thì đổi tên, tốt nhất là random để người tấn công không đoán được tên file, có nghĩa là ko biết được đường dẫn đến file ảnh JPEG
- Khi hiển thị hình ảnh, ko dùng đường dẫn trực tiếp, mà hiển thị thông qua 1 trang PHP trung gian, VD như:

Code:

<img src="http://yourdomain.com/showimage.php?id=xxx

Trong đó ID là mã của ảnh, từ ID này, bạn có thể query database để lấy link của ảnh.

Trong file showimage.php, bạn có thể dùng code PHP để lấy nội dung hình (thông qua GD lib) và dùng Header() để trả lại nội dung ảnh.

Ngoài ra, có 1 cách đơn giản hơn là trong thư mục chứa các file upload, bạn ko cho phép PHP chạy. Chèn dòng này vào file .htaccess của thư mục đó:

Code:

php_flag engine off

Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	11/08/2009 13:01:02 (+0700) \| #10 \| 189549

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không smilie

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	11/08/2009 13:20:46 (+0700) \| #11 \| 189551

tinios
Member

Joined: 27/02/2009 18:00:44
Messages: 22
Offline

ko phải là thực thi theo nghĩa thông thường anh à, mà là khi hiển thị hình ảnh thì code PHP trong tấm ảnh đó sẽ được thực thi. Ảnh JPEG có phần meta data, trong đó có phần comments, người tấn công đã chèn code PHP vào phần đó, đó chính là đoạn mã thực thi.

vậy khi thực thi bức ảnh nó sẽ thực thi phần comments trước ak anh như vậy shell mới chạy được chớ
smilie

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	11/08/2009 13:44:02 (+0700) \| #12 \| 189555

m3onh0x84
Member

Joined: 29/11/2007 15:22:21
Messages: 467
Location: lang thang 4 biển
Offline

Em nghe giông giống kiểu này, k0 biết có đúng k0 nữa smilie

http://www.guru.net.vn/CategoryView.aspx?category=Hack

1/ LÀM ƠN "Đọc kĩ hướng dẫn sử dụng trước khi dùng".
2/homepage: trước khi hỏi thì LÀM ƠN tìm kiếm. Vì để biết nhiều hơn thì ai cũng phải đọc "VỪNG ƠI MỞ RA"
Hỏi FAQ thì lên asking.vn mà hỏi

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	12/08/2009 12:24:30 (+0700) \| #13 \| 189671

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

canh_nguyen wrote:

learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không

hình như có dùng 1 soft nào đó nhét đoạn code sh3ll vào hoặc nếu không thì code php rồi cho nó tự download sh3ll về server,để em tìm lại đã

@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion smilie

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	12/08/2009 12:49:18 (+0700) \| #14 \| 189678

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

holiganvn wrote:

canh_nguyen wrote:

learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không

hình như có dùng 1 soft nào đó nhét đoạn code sh3ll vào hoặc nếu không thì code php rồi cho nó tự download sh3ll về server,để em tìm lại đã

@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion

Không cần tìm lại đâu cậu search luôn key này cho nhanh : edjpgcom. Mà thực ra để chèn thì không cần thiết phải soft này, dùng photoshop hoặc một số phần mềm edit ảnh cũng làm được.

Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?

Mà cậu cứ nhắc đi nhắc lại local làm gì thế ? Ở đây chủ topic đang bị tấn công kiểu gì mà cậu cứ lôi local vào vậy ?

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	12/08/2009 13:43:19 (+0700) \| #15 \| 189689

vnkimlong
Member

Joined: 30/08/2007 13:53:14
Messages: 67
Offline

Cái này tùy server, nhưng hiện nay server chạy được file dạng *.php.jpg không còn nhiều (có thể gọi là rất hiếm).

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	12/08/2009 16:30:11 (+0700) \| #16 \| 189708

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

@canh_nguyen:

em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục smilie

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	12/08/2009 20:18:01 (+0700) \| #17 \| 189729

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

holiganvn wrote:

@canh_nguyen:

em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục

Hình như cậu nói nhưng không nghĩ hay sao ấy nhỉ ?
Để mình trích lại một số bài của cậu nhé :

holiganvn wrote:

site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn

holiganvn wrote:

mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết

holiganvn wrote:

@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion smilie

Đọc lại xem có phải do chính mình viết không nhé smilie

Hơn nữa cậu lại cố tình vòng vèo không đi vào vấn đề chính mà cậu là người nói ra là sau khi chèn code php vào file ảnh thì cậu thực thi nó thế nào ?
Mình lại phải copy lại câu hỏi từ post trước :

Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	13/08/2009 09:36:21 (+0700) \| #18 \| 189780

motmang
Member

Joined: 31/12/2008 14:55:38
Messages: 13
Offline

Hay em cũng thắc mắc đúng câu này. Vậy mà chẳng thấy các bác giải thích cứ nói vòng vo làm em chẳng hiểu cái gì lại cái gì cả smilie

. đề nghị các bác không bàn đến vấn đề cao siêu, chỉ giải thích giùp em tại sao có thể thực thi đc con shell đó. Xin chân thành cảm ơn. smilie

canh_nguyen wrote:

Hơn nữa cậu lại cố tình vòng vèo không đi vào vấn đề chính mà cậu là người nói ra là sau khi chèn code php vào file ảnh thì cậu thực thi nó thế nào ?
Mình lại phải copy lại câu hỏi từ post trước :

Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?

[Question] giúp em với web bị chiếm quyền thông qua con đường upload hình ảnh?	13/08/2009 14:27:32 (+0700) \| #19 \| 189828

newbieonnix
Member

Joined: 25/04/2009 12:20:35
Messages: 13
Offline

holiganvn wrote:

@canh_nguyen:

em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục

Bác nói nên suy nghĩ kĩ hơn hãy nói canh_nguyen "hỏi" cho ra vấn đề thôi chứ không người đọc lại tưởng bạn holigan nói đúng mà hiểu bậy thì sao smilie

.

Chèn code vào phần commnet của file ảnh chỉ dùng trong lfi thôi chứ chưa thấy ai chạy được với shell.php.jpg với apache mới như hiện giờ smilie

Go to:

Users currently in here
1 Anonymous