Seohackers netlinking

Shell me Baby

Ecrit par Zyzko le Mercredi 20 juin 2007 à 21:54 - Catégorie Sécurité Internet et SEO,Scripts PHP

Bien le bonjour, je vous propose une brève description d’un script fort problématique pour les administrateurs de serveur web.

Ce script PHP que nous appellerons « Shell me Baby » émule un terminal SHELL et vous permet d’exécuter des commandes SHELL via http, de naviguer à travers l’arborescence du serveur, d’éditer n’importe quel fichier du type config.inc, .htaccess, config.php & cie, de créer, modifier ou effacer des fichiers. Intéressés ?

La première question qui vient à l’esprit est comment est ce possible d’accéder à un SHELL sans avoir un compte utilisateur, root ou non ? Et bien nous n’en avons pas besoin car nous utilisons les droits inhérents à PHP, droits qui sont bien souvent trop larges.

Ce type de script est bien souvent utilisé par les pirates dès lors qu’ils décident de passer via des failles PHP. La première étape, pas la moindre, est d’identifier un moyen d’envoyer notre script sur le serveur ou bien de tirer parti d’une faille de type GLOBAL_REGISTER pour alors executer son script depuis une url tierce et distante de la machine cible. Une fois le script opérationnel c’est bien souvent le début de la fin pour le serveur.

Vous voulez tester le bébé : ouvrez donc un compte sur un serveur mutualisé et uploadez-y le script. Une fois le prompt devant les yeux allez de ‘cd ..’en ‘cd ..’, tenter un ‘vi’ par ci, un ‘vi’ par là ; nous en reparlerons si vous le voulez bien prochainement, ainsi que de ses tweaks possibles…

Téléchargement (à consommer avec modération, réservé aux utilisateurs avancés) :

Lien supprimé par admin.

Commentaires (2)

Catégorie: Sécurité Internet et SEO,Scripts PHP


2 Commentaires

Commentaire par pagetronic

Jeudi, 16 août , 2007 à 17:51

ah non :D !!!

je vais m’empresser de tester ce truc :D

Commentaire par pagetronic

Vendredi, 28 décembre , 2007 à 21:07

mais ca déchire grave!!!!! :D
ah lalalalala!!!

Les commentaires sont fermés pour cet article.



SEO BLACKOUT

Site web dédié aux techniques de référencement et de positionnement de sites web sur Google.

Certaines parties du site sont en accès restreint, ces espaces sont réservés à la SEO Black Hat Team.


Don't Be Evil !