Rangom PHP stranka

HackForum

Rangom PHP stranka#
Mam otazku ako napisat script ktory by po odpocitani casu vygeneroval stranku s danim obsahom ale nahodnim nazvom tak aby na nu hned aj odkazoval.

Dakujem
(odpovědět)
Blader | 178.40.209.*26.8.2013 14:39
re: Rangom PHP stranka#
Otázkou je, co přesně chceš provést. Chápu to tak, že skript vygeneruje obsah stránky podle nějakého schématu a uloží ji pod náhodným názvem (např. abcd.html). Dále v sobě tento skript má obsahovat seznam odkazů na takto vygenerované stránky v rámci této domény?

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website26.8.2013 15:10
re: Rangom PHP stranka#
Náhodnej název použij třeba timestamp. Načteš ho do proměnné, vytvoříš stránku, která se tak bude jmenovat a vypíšeš na ní odkaz, nic víc snad?
(odpovědět)
eake | 178.255.168.*26.8.2013 15:13
re: Rangom PHP stranka#
Presne script caka nez nacita a prepocita co potrebuje a potom presmeruje na stranku ktora obsahuje vysledok. Ta by ale mala byt nahodne generovana.

Viete mi iba hodit kusok kodu ako to vyriesit ?

Dakujem
(odpovědět)
Blader | 178.40.209.*26.8.2013 15:29
re: Rangom PHP stranka#
Velmi jednoduše se dá stránka generovat například následovně:
[link]
Pokud má ale vypadat důvěryhodněji, je třeba ji rozšířit o možnost generovat komplexní kód (html s atributy, reálné CSS, javascript).

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website26.8.2013 16:54
re: Rangom PHP stranka#
<?php

$nahoda = rand();
$nahoda2 =rand();
$obsah = "obsah stranky - vysledok skriptu";
$ts = time(); //timestamp
$nazov = $nahoda.$ts.$nahoda2;//vygenerujeme nahodny nazov
/* $nazov = $nahoda.$ts.$nahoda2.".html"; // - ak chces s priponou*/
file_put_contents($nazov, $obsah);
echo '<a href="'.$nazov.'">Odkaz</a>';
//hotovo
?>
(odpovědět)
nitram147 | E-mail26.8.2013 16:57
re: Rangom PHP stranka#
Btw sorry az teraz som si vsimol ze ti uz rubber duck odpovedal :)
(odpovědět)
nitram147 | E-mail26.8.2013 16:59
re: Rangom PHP stranka#
K rubberduckovmu rieseniu : Nechcem kritizovat ale taku malu pripomienku generovat nazov suboru ako timestamp sam o sebe (bez pridania rand retazcu/cov) nie je zrovna najlepsie. Ak by mal vyssiu navstevnost alebo len sproste stastie a dvaja ludia by v ten isty cas poziadali o vysledok (na velkych serveroch sa to bezne stava) tak by timestamp -> teda aj nazov suborov ktore budu pre nich vytvorene (mozno chce Blader zobrazit kazdemu iny obsah)by sa menovali rovnako -> prvy by bol prepisany druhym a teda obaja klienti by videli obsah ktory by mal povodne videt iba druhy klient :)
(odpovědět)
nitram147 | E-mail26.8.2013 17:20
re: Rangom PHP stranka#
nitram147: Napsal jsem: Velmi jednoduše... Navíc Blader chtěl vidět jen ukázkový kód a vzhledem k tomu,že nevíme, co s tím kódem plánuje, nemá smysl se zaobírat s pojmenováním :) Ale jinak vím přesně, co myslíš :)
Osobně bych celý postup řešil úplně jinak:
check rozsahů IP --> vyhýbání se search botům
generování názvu souboru svázané s IP adresou a useragentem/portem a náhodný prvek, navíc s maximální životností, po které by se vygenerovaný soubor odstranil.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website26.8.2013 17:40
re: Rangom PHP stranka#
Neviem ako by si to mal v pláne uskutočniť s tou maximálnou životnosťou ale podľa mňa by jednoducho stačilo že po jednom zobrazení sa súbor (stránka zmaže) pokiaľ by to samozrejme nechcel použiť tak že mu server vrati spät napríklad zip súbor. <?php echo "blablabla"; unlink("__FILE__");?> a hotovo :) Každopádne to si už Blader porieši sám :)
(odpovědět)
nitram147 | E-mail26.8.2013 18:45
re: Rangom PHP stranka#
V ideálním případě přes CRON. V nejméně vhodném případě tak, že by každá stránka měla v hlavičce vygenerovanou značku. Do každého takového skriptu by se na začátek vložil kód, který by prošel všechny vygenerované skripty a zkontroloval značky. Podle nálezu může dané skripty odmazat.

Ideálním řešením je někde v nepřístupné složce (čti přesunující se, měnící název etc.) vytvořit soubor se seznamem všech skriptů a časem expirace. Při přístupu na skript proběhne kontrola seznamu a všechny vyexpirované skripty se odmažou.

Možností je hromada. Obecně si myslím, že Blader bude generovat phishingovou stránku :)

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website26.8.2013 19:05
re: Rangom PHP stranka#
Ďakujem teda za nápady :) Osobne ma napadlo jedine riešenie spraviť si db súborov (názov,expirácia) a spraviť si skript ktorý by po spustení prebehol db a zistil ktoré už expirovali a následne ich zmazal a tento skript by spúšťal CRON dajme tomu každú hodinu alebo každých 10minút (podľa potreby) :) Btw neviem prečo by mal zrovna generovať phishingovú stránku :) v dnešnej dobe sú ľudia tak sprostý že stačí ich jednoducho cez javascript presmerovať na čojaviem tvarkniha.com.login.php.w5wad5ad5w5d5wd5w5d
w.user.blablablabla.niakekraviny.superhaxor
.wz.cz a na superhaxor.wz.cz (neviem ci existuje dal som ju len tak z brucha) dat phishingovu stranku. Obete nalakat jednoducho super nove smajliky staci dat toto do url a aktivuju sa ti (javascript:alert("smajliky boli aktivovane, znova sa prihlas na tvarknihu a mozes ich zacat pouzivat");document.location="www.tvarkniha.com.login.php.w5wad5ad5w5d5wd5w5d
w.user.blablablabla.niakekraviny.superhaxor
.wz.cz";) a tak ďalej .... fantázii sa medze nekladú samozrejme by ten javascript bol niako obfuskovani a bola by zalozena niaka lakacia stranka so screenshotmi novych ,,smajlikov,, ktorá by navádzala na prekopcenie toho javascriptu do url :) Samozrejme týmto nechcem nikoho nahovárať na phishing a tiež by som bol nerád ak by niaky skriptkiddie začal na základe môjho príspevku zneužívať doménový koš na webzdarma ... :)
(odpovědět)
nitram147 | E-mail26.8.2013 22:46
re: Rangom PHP stranka#
Ide o projekt volal.sk.

Generovanie funguje viac ako skvelo. Ale teraz by som Vas chcel poprosit poradit ako okabatit volal.sk po klinuti na cislo prejde na procesor.php ktory po par sekundach vytvori odkaz otazka je ako ojebabrat ten couter aby som sa hned dostal na stranku ktoru vygenerovalo ?

Dakujem
(odpovědět)
Blazer | 212.136.7.71/10.15.3.*27.8.2013 7:54
re: Rangom PHP stranka#
Třeba tak, že se podíváš do stránky s tím counterem a vyparsuješ si skutečnou adresu:

window.onload = function()
{
countDown('my_div1', '<center><h2><a href="137759206014584919951894925391.html"&
gt;Odkaz</a><h2></center>
', 5);

}

To už by pro tebe neměl být problém.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website27.8.2013 10:30
re: Rangom PHP stranka#
A ako by si to osetril ty ?

Rad by som vedel ako to riesit tak ze najprv sa odpocita a potom sa zobrazi vysledok
(odpovědět)
Blazer | 212.136.7.71/10.15.3.*27.8.2013 10:36
re: Rangom PHP stranka#
Obfuskací JS kódu, kontrolou na straně serveru ať už ve skriptu nebo v databázi, odpočtem napsaném v PHP. Možností je tolik, kolik chceš, aby jich bylo.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website27.8.2013 10:54
re: Rangom PHP stranka#
No tak som to nakoniec skombinoval.

Skuste to dajme tomu hacknut . Kombinujem catachu session. Zaujimalo by ma ci je to teraz preniknutelne resp. ci sa da automaticky dostat k stranke ktoru generujem.

www.volal.sk

Dakujem

(odpovědět)
Blader | 178.40.159.*28.8.2013 22:17

Zpět
 
 
 

 
BBCode