Pełna wersja: Dziura czy słabe zabespieczenia?
Ostatnio zrobiłem sobie 2 skrypty, jeden od lokalizacji sciezki dostępu, drugi do dopisywania. Skrypty są banalne ale działają. Chodzi mi o to. Cze to jest błąd php że pozwala dostać sie do innego konta nawiąc się na katalogach serwera (nie chodzi mi o adresy np. www.aaa.boo.pl tylko). A dokładniej przejście z katalogu głównego jakim jest www.aaa.boo.pl do katalogu w którym to konto wisi, a nawet do wyrzeszego. i tak mozna dostac sie do czyjegos konta. A jak wiadomo jak sciezka ma taki format czyli bez htto:// czy ftp:// mozna działac na plikach które mają atrybuty. Więc czy to jest błąd albo dziura w php czy tylko słabe zabezpieczenie serwera ? Powiem tylko że boo wybrałem dla przykładu. Inne też tak się da obejść...
raczej slabe zabeSpieczenia
Zabezpieczenia lub zle ustawiona konfiguracji php poszukaj se w php.ini czego takiego:
Paths and Directories
chyba o te dziury ci chodzilo? :wink:
Paths and Directories
chyba o te dziury ci chodzilo? :wink:
Cytat
Zabezpieczenia lub zle ustawiona konfiguracji php poszukaj se w php.ini czego takiego:
Paths and Directories
Paths and Directories
Nie ma sprawby. Zrobił bym to gdybym był adminem na BOO albo na Of.pl. Ale nie jestem :P
Ale te "dziurki są fajne". Nayczyłem się nimi bawić, sama scieżka dostępu w HTML nie działa, bo on jest ograniczony do zakresu danego adresu, ale jak się domyślam to php łazi po serwi nie po danym koncie. więc wpisuje sobie fopen("jakiś katalog/jakiśkatalog/plik.txt","w"); ... i se dopisuje bez zadnych haseł czy takich tam pierduł. tylko musze mieć na pliku uprawnienia. I tu są problemy. Zadko się zdaza plik z odpowiednim chmodem. Moge zmienić uprawnienia przez chmod() ale ta funkcja nie chce działać nawet jak chce zmienić uprawnienia u siebie. To daje jeszcze jednego myka. Mozna zrobić skrypt do wrzucania plików na serwa ale próbowałem, sprawdzałem nawet te skrypty co podawaliście na forum i zaden nie dziła. A jak bym miał taki, działający, skrypt to bym se napisał skrypt-konia, wrzucił go drajerobi na serwer i wykasował mu pliki (jest chyba opcja do kasowania plików) ... To by było na tyle. (sory za błędy)
Cytat
Nie ma sprawby. Zrobił bym to gdybym był adminem na BOO albo na Of.pl. Ale nie jestem 
Ale te "dziurki są fajne". Nayczyłem się nimi bawić, sama scieżka dostępu w HTML nie działa, bo on jest ograniczony do zakresu danego adresu, ale jak się domyślam to php łazi po serwi nie po danym koncie. więc wpisuje sobie fopen("jakiś katalog/jakiśkatalog/plik.txt","w"); ... i se dopisuje bez zadnych haseł czy takich tam pierduł. tylko musze mieć na pliku uprawnienia. I tu są problemy. Zadko się zdaza plik z odpowiednim chmodem. Moge zmienić uprawnienia przez chmod() ale ta funkcja nie chce działać nawet jak chce zmienić uprawnienia u siebie. To daje jeszcze jednego myka. Mozna zrobić skrypt do wrzucania plików na serwa ale próbowałem, sprawdzałem nawet te skrypty co podawaliście na forum i zaden nie dziła. A jak bym miał taki, działający, skrypt to bym se napisał skrypt-konia, wrzucił go drajerobi na serwer i wykasował mu pliki (jest chyba opcja do kasowania plików) ... To by było na tyle. (sory za błędy)
Ale te "dziurki są fajne". Nayczyłem się nimi bawić, sama scieżka dostępu w HTML nie działa, bo on jest ograniczony do zakresu danego adresu, ale jak się domyślam to php łazi po serwi nie po danym koncie. więc wpisuje sobie fopen("jakiś katalog/jakiśkatalog/plik.txt","w"); ... i se dopisuje bez zadnych haseł czy takich tam pierduł. tylko musze mieć na pliku uprawnienia. I tu są problemy. Zadko się zdaza plik z odpowiednim chmodem. Moge zmienić uprawnienia przez chmod() ale ta funkcja nie chce działać nawet jak chce zmienić uprawnienia u siebie. To daje jeszcze jednego myka. Mozna zrobić skrypt do wrzucania plików na serwa ale próbowałem, sprawdzałem nawet te skrypty co podawaliście na forum i zaden nie dziła. A jak bym miał taki, działający, skrypt to bym se napisał skrypt-konia, wrzucił go drajerobi na serwer i wykasował mu pliki (jest chyba opcja do kasowania plików) ... To by było na tyle. (sory za błędy)
nie oczekuj pomocy ode mnie bo jej nie dostaniesz po takim poscie
Zanim cos zniszczysz naucz sie tworzyc!
Cytat
Zabezpieczenia lub zle ustawiona konfiguracji php poszukaj se w php.ini czego takiego:
Paths and Directories
chyba o te dziury ci chodzilo? :wink:
Paths and Directories
chyba o te dziury ci chodzilo? :wink:
Raczej w http.conf
Options - indexes
SonGoace mam nadzieję że Tobie też ktoś zrobi coś takiego zabawnego jak się nad czymś mapracujesz :cry: [/code]
nastepny hackier kup se łom i zniszcz sobie czerep 
(((
pozostaje sie tylko modlic ze jest mniej takich pehapowcow na swiecie
mam nadzieje ze rozumiesz to co robisz .... wiecej bys zyskal zabezpieczeniem takich luk nic niszczeniem danych .... zawsze bylem jestem i bede wrazliwy na szczawikow ktorzy dla sportu niszcza cudza prace ..... a tak () mowiac looknij sobie na http://hacking.pl or http://nevillon.pac.pl tam znajdziesz informacje na temat etyki hackiera oraz prawa karnego z tego zakresu pozniej przemysl to przegrys i zmien swoje postepowanie
Pozdrawiam It`s_me
(((
pozostaje sie tylko modlic ze jest mniej takich pehapowcow na swiecie
mam nadzieje ze rozumiesz to co robisz .... wiecej bys zyskal zabezpieczeniem takich luk nic niszczeniem danych .... zawsze bylem jestem i bede wrazliwy na szczawikow ktorzy dla sportu niszcza cudza prace ..... a tak () mowiac looknij sobie na http://hacking.pl or http://nevillon.pac.pl tam znajdziesz informacje na temat etyki hackiera oraz prawa karnego z tego zakresu pozniej przemysl to przegrys i zmien swoje postepowanie
Pozdrawiam It`s_me
NIe jestem hakierem, nie chce być, i nigdy nie byłem . Poszecie żebym zabespieczał takie dziurki. Nie ma sprawy ale ja nie mam dostępu do zabespieszczen jakiegoś serwa. Napisalem tutaj z pytaniem czy to dziura... Dowiedzeliście się na czym polega więc. Wiem że wy o tym wiedzieliście to czemu wcześniej nie zaczeliście działać ?
ps.
Haker to ktoś kto sprawdza słabe zabespieczenia i przekazuje te informacje administratorowi systemu tak ?
A kreker to ktoś taki jak napisał "itsme" tak ?
Jak chcecie to bez problemu opisze wam dokładnie jak to robie, podam wam nawet skrypty. Chodz pewnie wiecie jak one wyglądają. Przepraszam jeszcze raz jak kogos skrzywdziłem.
ps.
Haker to ktoś kto sprawdza słabe zabespieczenia i przekazuje te informacje administratorowi systemu tak ?
A kreker to ktoś taki jak napisał "itsme" tak ?
Jak chcecie to bez problemu opisze wam dokładnie jak to robie, podam wam nawet skrypty. Chodz pewnie wiecie jak one wyglądają. Przepraszam jeszcze raz jak kogos skrzywdziłem.
ciekawe rzeczy są poruszane na tym forum tylko dlaczego nie bardzo wiem o co chodzi, teksty SonGoace są chyba innym językiem pisane choć rozumiem wiekszość słów to jednak logiki i sensu w nich nie bardzo odnajduje
wiem, że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?
proszę o przetłumaczenie
dzięki
wiem, że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?
proszę o przetłumaczenie
dzięki
Do SonGoace
Z Twojej pierwotnej wypowiedzi czuc znaczącą satysfakcje z faktu mozliwsci kasowania plikow. Dlatego az tak Twoja wypowiedz mnie zirytowala
Jezeli znasz sposoby lamania zabezpieczen i jezeli je tylko znasz nie niszczac danych to OK to juz milcze
))
ps opisz sposoby i zalacz skrypiory sadze ze ta czesc FORUM bedzie miala niezla ogladalnosci potem reklama itp))
ale tajk powaznie jestem bardzo ciekawy jakie massz osiagniecia z tego zakresu i jakie masz rowniez sposoby zabezpieczenia sie przed tego typu dzialaniem
ps. mnie zniszczono kawal mojej roboty zas sprawcy tego czynu robili to tylko dla "sportu"((
nadal Pozdrawiam It`s_me[/b]
Z Twojej pierwotnej wypowiedzi czuc znaczącą satysfakcje z faktu mozliwsci kasowania plikow. Dlatego az tak Twoja wypowiedz mnie zirytowala
Jezeli znasz sposoby lamania zabezpieczen i jezeli je tylko znasz nie niszczac danych to OK to juz milcze
))
ps opisz sposoby i zalacz skrypiory sadze ze ta czesc FORUM bedzie miala niezla ogladalnosci potem reklama itp
))
ale tajk powaznie jestem bardzo ciekawy jakie massz osiagniecia z tego zakresu i jakie masz rowniez sposoby zabezpieczenia sie przed tego typu dzialaniem
ps. mnie zniszczono kawal mojej roboty zas sprawcy tego czynu robili to tylko dla "sportu"
((
nadal Pozdrawiam It`s_me[/b]
itsme: współczuje, ja robie sobie zawsze kopie i zabieram do domu na dyskietkach
ale bazy jeszcze nie kopiowałem...
ale bazy jeszcze nie kopiowałem...
Tak tylko dla formalnosci zapytam sie ile masz lat SonGoace :?:
Dla formalności odpowiem że mam 19 lat. (pewnie ten fakt sprowadzi was do dziwnych refleksji na temat mojej osoby:P )
Teraz do rzeczy.
"itsme" napisałeś o satysfakcji. Ty jej nie czyjesz jak odkrywasz coś czego nie znałeś ? To jest tak jak K. Kolumb gdy odkrył (już wcześniej odkrytą i zamieszkaną przez "indian") Amerykę, on też czyłsatysfakcję.
Piszesz bym udostępnił te skrypty, jak to zrbie to chyba każdy będzie chciał się nimi pobawić. To było by zgubne dla wielu.
ptyasz takrze czy wiam jak to zabespieczyć. Chyba nie da się tego zrobić. tzn nie da ze strony urzytkowanika, no bo niby jak ? ukryć pliki ? bo chyba nie da sięzapisać w pliku TXT info. że tylko plik znajdujący się
"obok" moze do niego coś dopisać. Ale powiem ci że to działa tylko tam gdzie inny ma konto. Bo żeby buszować po katalogach trzeba wystartować z konta na tym samym serwie, a przecież nie każdy ma dostęp do wszystkich.
"Itsme", jeśli chcesz to moge ci dać te skrypty (banalne, razem zajmują jakieś 300b - nie kilo :P) Jeśli chcesz napisz na GG (Gadu-Gadu) 1478896
I jeszcze jedno teraz to wy powiedzcie ile macie lat :P
Teraz do rzeczy.
"itsme" napisałeś o satysfakcji. Ty jej nie czyjesz jak odkrywasz coś czego nie znałeś ? To jest tak jak K. Kolumb gdy odkrył (już wcześniej odkrytą i zamieszkaną przez "indian") Amerykę, on też czyłsatysfakcję.
Piszesz bym udostępnił te skrypty, jak to zrbie to chyba każdy będzie chciał się nimi pobawić. To było by zgubne dla wielu.
ptyasz takrze czy wiam jak to zabespieczyć. Chyba nie da się tego zrobić. tzn nie da ze strony urzytkowanika, no bo niby jak ? ukryć pliki ? bo chyba nie da sięzapisać w pliku TXT info. że tylko plik znajdujący się
"obok" moze do niego coś dopisać. Ale powiem ci że to działa tylko tam gdzie inny ma konto. Bo żeby buszować po katalogach trzeba wystartować z konta na tym samym serwie, a przecież nie każdy ma dostęp do wszystkich.
"Itsme", jeśli chcesz to moge ci dać te skrypty (banalne, razem zajmują jakieś 300b - nie kilo :P) Jeśli chcesz napisz na GG (Gadu-Gadu) 1478896
I jeszcze jedno teraz to wy powiedzcie ile macie lat :P
Tez mam 19 lat, ale w przeciwienstwie do Ciebie nie bawia mnie takie rzeczy jak kasowanie ludziom ich pracy.
A co do tej dziury to przeciez mozesz to zglosci do admina serwisu.
A co do tej dziury to przeciez mozesz to zglosci do admina serwisu.
NIe odpowiada na maila...
mam kilka wiosen wiecej niż wy chlopaki 
chyba :wink:
chyba :wink:
Cytat
ciekawe rzeczy są poruszane na tym forum tylko dlaczego nie bardzo wiem o co chodzi, teksty SonGoace są chyba innym językiem pisane choć rozumiem wiekszość słów to jednak logiki i sensu w nich nie bardzo odnajduje
wiem, że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?
proszę o przetłumaczenie
dzięki
wiem, że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?
proszę o przetłumaczenie
dzięki
Innym? Są pisane bardzo prostym językiem, nie stosuje tych "waszych" pojęć
"że są niby jakieś luki, ale gdzie jak nie ma praw dostepu?"
Powiem to tak. Jeśli chcesz działać na plikach na innym koncie musisz podać hasło i login oraz adres ftp tego pliku tak ?
ale jak działasz na innym katalogu, na swoim koncie, to wystarczy podać scieżkę dostępu, np. ../../jakiś plik.txt. i nie trzeba dawać hasła. A nie pomyśleliście że wszystkie konta np. Mietek jest w katalogu konta-na-M a katalog konta-na-M jest w jeszcze innym. Więc php chyba nie ma zabespieczonego takiego przejścia bo można przecież zrobić tak że Mietek dostaje się do katalogu Władka tak include("../../../konta/konta-na-W/władek/www/jakiś plik.txt") widzisz tak się mozna dostać do innego konta..
ja mam 28 lat
ale wiek nie ma znaczenia mam przyjaciol na ircsieci w wieku 14 lat
ale fakt faktem ze milo jest odkrywac jak Kolumb ale on nie zajebal tam atomowki zaarz po odkryciu a ty odrazu mowisz o kasowaniu
inna by byla moja reakcja gdybys napisal ze naezy powiadomic admina wtedy sam od siebie jeszcze wiekszymi literami niz wczesniej napisal ZE TEGO CZLOWIEKA NALEZY Z ZALOZENIA SZANOWAC !!!!!!!!
ale niestety tak sie nie stalo ............
lecimy dalej wiem ze to w moim interesie jest do ciebie napisavc na gg ale ja z tego nie kozystam wiec jezeli mozesz to itsme@irc.pl
znajdziesz (cie) mnie rowaniesz na kanale #koszalin z nickiem It`s_me
na ircsieci
aha starcilem dane z bazy danych ........ oj bolalo bolalo .... starcilem zaufanie znajomych przez ten fpad ehhhhhh szkoda pisac(
Pozdrawiam It`s_me
ale wiek nie ma znaczenia mam przyjaciol na ircsieci w wieku 14 lat
ale fakt faktem ze milo jest odkrywac jak Kolumb ale on nie zajebal tam atomowki zaarz po odkryciu a ty odrazu mowisz o kasowaniu
inna by byla moja reakcja gdybys napisal ze naezy powiadomic admina wtedy sam od siebie jeszcze wiekszymi literami niz wczesniej napisal ZE TEGO CZLOWIEKA NALEZY Z ZALOZENIA SZANOWAC !!!!!!!!
ale niestety tak sie nie stalo ............
lecimy dalej wiem ze to w moim interesie jest do ciebie napisavc na gg ale ja z tego nie kozystam wiec jezeli mozesz to itsme@irc.pl
znajdziesz (cie) mnie rowaniesz na kanale #koszalin z nickiem It`s_me
na ircsieci
aha starcilem dane z bazy danych ........ oj bolalo bolalo .... starcilem zaufanie znajomych przez ten fpad ehhhhhh szkoda pisac
(
Pozdrawiam It`s_me
Cytat
ja mam 28 lat
ale wiek nie ma znaczenia mam przyjaciol na ircsieci w wieku 14 lat
ale wiek nie ma znaczenia mam przyjaciol na ircsieci w wieku 14 lat
cieszę sie że jest ktoś w moim wieku :wink:
to co napisałeś to jedynie wyjątki ale w informatyce to właśnie najmłodsi wiodą prym pod względem uczenia się :wink:
SonGoace raczej przez przypadek dostał się do tego serwera dzięki "pomocy" administratora, zgadza się SonGoace :?:
moderator chyba przysypia (php->Hydepark)
Nie, nie zgadza się. Od czasu kiedy forum nie dziłało poznałem jeszcze kilka sztuczek. A pozatym Off, boo, host.sk pozwalają jeszcze na to więc to nie jest przypadkowe jesli o to chodzi. A co do kolumba to po wylądowaniu na ontynencie zabili kilku "indian"
Ale chce ci jeszcze powiedzieć że sam natknołem sięna chamstwo w sieci i ja tego nie popieram więc nikomu nie będe nic kasował...
Ale chce ci jeszcze powiedzieć że sam natknołem sięna chamstwo w sieci i ja tego nie popieram więc nikomu nie będe nic kasował...
Poważnie? Nie jest to przypadek? Spróbuj na np. interii.
Cytat
Poważnie? Nie jest to przypadek? Spróbuj na np. interii.
http://hacking.pl/news.php?id=1520 look chyba tam byl
))
Pozdrawiam It`s_me
Nie, wcześniej to sprawdzałem. Zresztą nie chodzi o pocztę. Ale chyba zły przykład podałem bo interia nie udostępnia kont z php
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.