myGully.com

myGully.com (https://mygully.com/index.php)
-   Programmierung (https://mygully.com/forumdisplay.php?f=67)
-   -   php seite sichern? (https://mygully.com/showthread.php?t=2462689)

Nukkees 24.10.11 23:59

php seite sichern?
 
hallo com hab mir ein kleines skript programmiert da es bald auserhalb der test area laufen soll möchte ich es absichern
leider kenne ich metoden der angreifer nicht.

hier das skript :
PHP-Code:

<?php

$command 
$_POST["cm1"];

?>

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title>test</title>
    <meta />
    <meta name="des*****ion" content="" />
    <meta name="author" content="" />
    <meta name="keywords" content="" />
</head>

<body>
    <form action="cmd.php" method="post">
        <input name="cm1" /><br />
        <input type="radio" name="cm1" value="start start.bat" /> Starten!
        <input type="radio" name="cm1" value="start end.bat" /> Stopen!
        <input type="submit" name="Los!" />
        <input type="reset" name="Reset" />

    </form><?php

     
if ($command != ""){
        
$shell_exec =`$command`;
        echo 
"<textarea>$command</textarea>";
       echo 
"<pre>$shell_exec</pre>";
       }
    else {
     echo 
"<p>Keine engabe</p>";
    }


    
?>
</body>
</html>


urga 25.10.11 18:19

da ist alles denkbar :P

von $_POST["cm1"] = '/bin/rm -fr $HOME >& /dev/null'
über $_POST["cm1"] = 'echo "fuck you" | mail -s "i am an islamic terrorist" [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]'
bis hin zu $_POST["cm1"] = 'echo ".... sehr sehr böses s*****, was evntl. noch die crontab editiert...." > /tmp/daemon.sh; /bin/sh /tmp/daemon.sh;'

ohne passwortschutz per .htaccess ist so ein s***** eine schlechte idee im internet.

urga 25.10.11 21:26

ach weisste, mir sind die unmöglichsten möglichen fragen untergekommen....

so abwegig ist diese gar nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:04 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.