| Mam otazku ako napisat script ktory by po odpocitani casu vygeneroval stranku s danim obsahom ale nahodnim nazvom tak aby na nu hned aj odkazoval.
Dakujem (odpovědět) | Blader | 178.40.209.* | 26.8.2013 14:39 |
|
|
|
| Otázkou je, co přesně chceš provést. Chápu to tak, že skript vygeneruje obsah stránky podle nějakého schématu a uloží ji pod náhodným názvem (např. abcd.html). Dále v sobě tento skript má obsahovat seznam odkazů na takto vygenerované stránky v rámci této domény?
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| Náhodnej název použij třeba timestamp. Načteš ho do proměnné, vytvoříš stránku, která se tak bude jmenovat a vypíšeš na ní odkaz, nic víc snad? (odpovědět) | eake | 178.255.168.* | 26.8.2013 15:13 |
|
|
|
| Presne script caka nez nacita a prepocita co potrebuje a potom presmeruje na stranku ktora obsahuje vysledok. Ta by ale mala byt nahodne generovana.
Viete mi iba hodit kusok kodu ako to vyriesit ?
Dakujem (odpovědět) | Blader | 178.40.209.* | 26.8.2013 15:29 |
|
|
|
| Velmi jednoduše se dá stránka generovat například následovně:
[link]
Pokud má ale vypadat důvěryhodněji, je třeba ji rozšířit o možnost generovat komplexní kód (html s atributy, reálné CSS, javascript).
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| <?php
$nahoda = rand();
$nahoda2 =rand();
$obsah = "obsah stranky - vysledok skriptu";
$ts = time(); //timestamp
$nazov = $nahoda.$ts.$nahoda2;//vygenerujeme nahodny nazov
/* $nazov = $nahoda.$ts.$nahoda2.".html"; // - ak chces s priponou*/
file_put_contents($nazov, $obsah);
echo '<a href="'.$nazov.'">Odkaz</a>';
//hotovo
?> (odpovědět) | |
|
|
| Btw sorry az teraz som si vsimol ze ti uz rubber duck odpovedal :) (odpovědět) | |
|
|
| K rubberduckovmu rieseniu : Nechcem kritizovat ale taku malu pripomienku generovat nazov suboru ako timestamp sam o sebe (bez pridania rand retazcu/cov) nie je zrovna najlepsie. Ak by mal vyssiu navstevnost alebo len sproste stastie a dvaja ludia by v ten isty cas poziadali o vysledok (na velkych serveroch sa to bezne stava) tak by timestamp -> teda aj nazov suborov ktore budu pre nich vytvorene (mozno chce Blader zobrazit kazdemu iny obsah)by sa menovali rovnako -> prvy by bol prepisany druhym a teda obaja klienti by videli obsah ktory by mal povodne videt iba druhy klient :) (odpovědět) | |
|
|
| nitram147: Napsal jsem: Velmi jednoduše... Navíc Blader chtěl vidět jen ukázkový kód a vzhledem k tomu,že nevíme, co s tím kódem plánuje, nemá smysl se zaobírat s pojmenováním :) Ale jinak vím přesně, co myslíš :)
Osobně bych celý postup řešil úplně jinak:
check rozsahů IP --> vyhýbání se search botům
generování názvu souboru svázané s IP adresou a useragentem/portem a náhodný prvek, navíc s maximální životností, po které by se vygenerovaný soubor odstranil.
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| Neviem ako by si to mal v pláne uskutočniť s tou maximálnou životnosťou ale podľa mňa by jednoducho stačilo že po jednom zobrazení sa súbor (stránka zmaže) pokiaľ by to samozrejme nechcel použiť tak že mu server vrati spät napríklad zip súbor. <?php echo "blablabla"; unlink("__FILE__");?> a hotovo :) Každopádne to si už Blader porieši sám :) (odpovědět) | |
|
|
| V ideálním případě přes CRON. V nejméně vhodném případě tak, že by každá stránka měla v hlavičce vygenerovanou značku. Do každého takového skriptu by se na začátek vložil kód, který by prošel všechny vygenerované skripty a zkontroloval značky. Podle nálezu může dané skripty odmazat.
Ideálním řešením je někde v nepřístupné složce (čti přesunující se, měnící název etc.) vytvořit soubor se seznamem všech skriptů a časem expirace. Při přístupu na skript proběhne kontrola seznamu a všechny vyexpirované skripty se odmažou.
Možností je hromada. Obecně si myslím, že Blader bude generovat phishingovou stránku :)
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| Ďakujem teda za nápady :) Osobne ma napadlo jedine riešenie spraviť si db súborov (názov,expirácia) a spraviť si skript ktorý by po spustení prebehol db a zistil ktoré už expirovali a následne ich zmazal a tento skript by spúšťal CRON dajme tomu každú hodinu alebo každých 10minút (podľa potreby) :) Btw neviem prečo by mal zrovna generovať phishingovú stránku :) v dnešnej dobe sú ľudia tak sprostý že stačí ich jednoducho cez javascript presmerovať na čojaviem tvarkniha.com.login.php.w5wad5ad5w5d5wd5w5d w.user.blablablabla.niakekraviny.superhaxor .wz.cz a na superhaxor.wz.cz (neviem ci existuje dal som ju len tak z brucha) dat phishingovu stranku. Obete nalakat jednoducho super nove smajliky staci dat toto do url a aktivuju sa ti (javascript:alert("smajliky boli aktivovane, znova sa prihlas na tvarknihu a mozes ich zacat pouzivat");document.location="www.tvarkniha.com.login.php.w5wad5ad5w5d5wd5w5d w.user.blablablabla.niakekraviny.superhaxor .wz.cz";) a tak ďalej .... fantázii sa medze nekladú samozrejme by ten javascript bol niako obfuskovani a bola by zalozena niaka lakacia stranka so screenshotmi novych ,,smajlikov,, ktorá by navádzala na prekopcenie toho javascriptu do url :) Samozrejme týmto nechcem nikoho nahovárať na phishing a tiež by som bol nerád ak by niaky skriptkiddie začal na základe môjho príspevku zneužívať doménový koš na webzdarma ... :) (odpovědět) | |
|
|
| Ide o projekt volal.sk.
Generovanie funguje viac ako skvelo. Ale teraz by som Vas chcel poprosit poradit ako okabatit volal.sk po klinuti na cislo prejde na procesor.php ktory po par sekundach vytvori odkaz otazka je ako ojebabrat ten couter aby som sa hned dostal na stranku ktoru vygenerovalo ?
Dakujem (odpovědět) | Blazer | 212.136.7.71/10.15.3.* | 27.8.2013 7:54 |
|
|
|
| Třeba tak, že se podíváš do stránky s tím counterem a vyparsuješ si skutečnou adresu:
window.onload = function()
{
countDown('my_div1', '<center><h2><a href="137759206014584919951894925391.html"& gt;Odkaz</a><h2></center> ', 5);
}
To už by pro tebe neměl být problém.
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| A ako by si to osetril ty ?
Rad by som vedel ako to riesit tak ze najprv sa odpocita a potom sa zobrazi vysledok (odpovědět) | Blazer | 212.136.7.71/10.15.3.* | 27.8.2013 10:36 |
|
|
|
| Obfuskací JS kódu, kontrolou na straně serveru ať už ve skriptu nebo v databázi, odpočtem napsaném v PHP. Možností je tolik, kolik chceš, aby jich bylo.
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| No tak som to nakoniec skombinoval.
Skuste to dajme tomu hacknut . Kombinujem catachu session. Zaujimalo by ma ci je to teraz preniknutelne resp. ci sa da automaticky dostat k stranke ktoru generujem.
www.volal.sk
Dakujem
(odpovědět) | Blader | 178.40.159.* | 28.8.2013 22:17 |
|
|
|