Автоматизируем процесс взлома. [ I Intro ] Найденная xss - хорошо.Php-include? Eще лучше. А если 10?50? Тема этой статьи - автоматизация поиска php-include, sql-inj и xss баг. Так как, процесс поиска достаточно однообразен, то его легко можно автоматизировать ( в данный момент я пишу такой скрипт, релиз планируется в 20-30 числах этого месяца . Кажется, кто-то еще писал похожего бота.. ). [ II Inside ] 1) PHP-Include. Для начала напишем скриптег примерно такого вида: Code: <? include ($_GET[file]); ?> Как видно, этот скрипт инклудит переменную file, полученную через GET запрос. Попробуем просто загрузить этот скриптег, без всеких доп. значений в $file: Code: $ nc 192.168.0.1 80 GET /bug/include.php HTTP/1.0 HTTP/1.1 200 OK [cut] Content-Length: 242 Connection: close <br /> <b>Warning</b>: include() [<a href='function.include'>function.include </a>]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in <b>/var/www/localhost/htdocs/bug/include.php</b> on line <b>2</b><br /> (Все это я специально делаю неткатом, чтобы потом, на практике было проще, т.к. парсить мы будем именно html код со всеми тегами.) Если вырезать теги, получится что-то типа этого: Code: Warning: include() [function.include]: Failed opening '' for inclusion (include_path='.:/usr/share/php5:/usr/share/php') in /var/www/localhost/htdocs/bug/include.php on line 2 Логично редположить, что в большинстве случаев с инклуд багой (error_reporting 0 рассмотрю чуть попозже), месага будет примерно одинаковой. То есть, написав небольшой парсер хтмл для вырезки скриптов (из a тегов например), можно получить неплохой чекер Все просто - если есть месага с "ашипкой", то соответсвенно есть и бага. Как вариант - можно попробовать подставить что-то типа http://google.com/, но возможно что "URL file-access is disabled in the server configuration", и никаких шеллов не будет. error reporting 0. Часто некоторые умники отключают вывод ошибок вообще. Это привод к тому, что тяжело понять, есть бага или нет. С php-inc поступаем так: перебираем ../[../ here]../etc/passwd, скрипты типа index.php и http://google.com/ например.Если с каким-либо из этих параметров код страницы изменится, можно считать что инклуд есть. 2) SQL-Injection. Скуль.Тут аналогично с инклудом. Во все параметры тыркаем ', -1, etc.. Если будет месага типа "you have an error in your sql syntax", то бага есть. Code: 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near error reporting 0. Но и тут находятся умники, которые отключат вывод ашипок. Найти багу можно только сделав правильный SQL-запрос. 3) Cross Site Scripting. Тут все еще проще. Для примера возьмем следующий код: Code: <h1> My XSS here </h1> Далее мы будем этот код подставлять во все параметры. Найти багу тут очень просто. По определению хсс - внедрение своего кода в код страницы. Парсим код страницы на наличие нашего кода, если находим - бага присутствует. Все просто [ III Outro ] Описанный выше метод основывается на вывод различных ошибок, в основном.Если вывод отключен - только правильный путь к файлу для php-inc и правильный запрос для sql-inj. На самом деле, автоматизация этого процесса довольно проста. Примерно в 20-30 числах этого месяца я постараюсь дописать вторую версию крякера с поддержкой проверок rfi (remote file inclusion), sql-inj & xss. Каментим и оцениваем
Конечно не плохо, но на практике как все получится это другой вопрос! Иногда ручками копаешься не один час, а что бы написать скрипт который делал все сам, это каких надо приложить усилий и знаний, что бы он выдавал хотябы 40% истыны. Вот Гема писал скрипт, для локально поиска багов, там вобще вероятность выполнения найденой баги составляла 1-10% от всего найденого! Ну если у тебя получиться написать, респект тебе большой будет! P.S. Вот только интересно в чем будет разница твоего скрипта от уже имеющихся сканеров безопасности? P.S.S. И еще, это мало на статью похоже
DIAgen скрипт вообще был написан для того,чтобы после его работы наглядно было видно где вызываются нужные нам mysql_query,include() и прочее,те облегчает работу.
Ну не совсем согласен... Со скриптом проверка сайта может занять больше времени, но результат будет положительным если база уязвимостей сканера будет нормальной. Это как брут всех возможных комбинаций: может занять много времени, но рано или поздно пароль будет найден. 2Gh0s7 Спокойней епта, контекст твоего поста понятен, только он не для тебя был... А для людей которые заинтересованы в теме, но реализовать сами не способны.
