时间:2010.06.10
事件:http://test.zlz.im 被人拿了shell,可以挂-马
经过:下午收到陌生朋友(CMlr)的 QQ 聊天窗口,说我测试页面安全系数太低,被他轻易的就拿到了Shell。
废话不说,见下面的页面截图:
首先,感谢这位朋友的友情告知,随后我让他继续突破,争取拿到 FTP/SSH/mysql账号密码,呵呵,蛮有趣的。
最终只能拿到mysql 密码 ,ftp没有拿到,到此告一段落。
说明一下:test.zlz.im 这个二级域名是独立于 zlz.im 的,ftp 和ssh 都是独立帐号密码,所以拿到这个站的shell对我的 主站 没有影响。
由于test站是个 php在线调试预览的页面,拥有的权限可谓是颇高,被用来拿shell 也是再好不过了。
为了调试php方面,基本没有安全性可言,所以大家在使用此类编辑器的时候要慎重,最好不要把在线调试页面的URL公开,自用即可。
后来,我跟CMlr 聊了会,他还发现我的留言框有一瞬间的 JS跨站执行的 bug,但是不影响安全,因为最总存入留言要经过代码过滤的,只会在提交后一瞬间的预览页面中出现。
PS:这个php挂-马工具的功能还是很强大的,目前已经被我所用,无论是文件管理还是命令执行都是有一定价值的。
PSPS: http://test.zlz.im 这个 JS/HTML/PHP 在线调试页面,将一直存在,正常使用,希望大家珍惜,共同进步。
工具这么强大?怎么能增强博客安全系数呢?
@Lene, 尽量把文件权限给低点,不要给777
mysql的杀手呀!
求那马的下载地址。。。。要不等下我自己去搜索算了。。。
@橡筋, 嘿嘿,注意看截图左上角的网页标签,搜索下就能下载到这个 PHP挂吗工具了。我不提供下载哟。。。
帮我去测试测试博客安全吧~!
@mice, 他最近不知道忙啥呢,想他了?
挂马。。。好神圣的术语,我不会,呵呵
看不懂,還是要頂自立
@散人, 呵呵 谢啦
嘿嘿,我来了…
我再尽力试一下把ftp攻倒.
@CMlr, 你就折腾把,挂-马页面我还没删,随你搞,记得突破了告诉我啊,嘿嘿
敢问博主 test.zlz.im 的这个首页程序是啥来头? 自己也想弄个玩玩..
不过这样随意提交php代码确实灰常不安全啊…
@游否, 这个程序叫 codepress 你搜下,记得不要跟主站放在一个主机上,危险重重
高手过招,前来围观!
真高级
留言框有一瞬间的 JS跨站执行的 bug–这个是说ajax提交预览吧,跨站执行js影响的多半是访客
@winy, 是的,是ajax 瞬间的预览效果,无大碍
发现黑客。