Reklama
Pokazuje wyniki od 1 do 14 z 14

Temat: [PHP] Solace Scriptmaze - Utrudnij włamanie!*

  1. #1

    Data rejestracji
    2005
    Posty
    74
    Siła reputacji
    19

    Domyślny [PHP] Solace Scriptmaze - Utrudnij włamanie!*

    Witam wszystkich.

    Ostatnio rozglądałem się za rozwiązaniem, które bez instalacji dodatkowych bibliotek potrafiłoby ,,zakodować" kod PHP w taki sposób by był niemożliwy ( lub chociaż utrudniony ) dostęp do kodu właściwego.

    Oto na co trafiłem - Klasa Solace Scriptmaze!
    Autorstwa Zilava

    Kod:
    Protected scripts use code morphing to prevent automatic decoding. CRC based integrity checking is used to detect possible hack attempts
    na nasze:
    Kod:
    Zabezpieczane skrypty używają morfowania kodu do zapobiegania automatycznego dekodowania. Oparte na CRC sprawdzanie integralności jest używane do wykrywania ewentualnych prób włamania.
    Krótki spis zalet i wad ( w zasadzie po 1 :P ) :
    Zalety:
    - Zabezpiecza przed osobami niepowołanymi którzy pobierają treść danego pliku PHP ( patrz w google - Odczytywanie plików przez load_file , SQL Injection )
    Wady:
    - Plik się powiększa parokrotnie ( o ile przy configu nie ma to AŻ takiego znaczenia, to przy większych plikach może sprawić dużą bolączke wydajnościową )


    Spis treści:

    1. Co będzie potrzebne?
    2. Przykład kodu
    3. Jak wygenerować zakodowany plik?


    1. Co będzie potrzebne?
    Wystarczy serwer Apache z PHP 4.3.0+ ( tak pisało w dokumentacji, ale ja bym stawiał PHP 5+ )

    2. Przykład kodu
    Kod pokazujący ,,Hello tibia.org.pl <br> Ten kod na prawdę działa!"
    Kod:
    <?php $V000='86ac97f3596c2395238a49f073182a2e';$V219='str_rot13';$V612='base64_decode';$V115='strrev';$V158=$V219('irefvba_p').$V219('bzcner');$V428=$V612('cGhwdmVyc2lvbg==');$V538='strrev';$V743=$V115('cim').$V115('emitor');$V327='chr';$V264=$V219('bo_fgneg');$V812=$V612('YmFzZTY0').$V612('X2RlY29kZQ==');$V381=$V612('c3RyX3JvdDEz');$V457='ob_get_contents';$V371='ob_'.'end_clean';if($V158('4.3.0',$V428(),'>=')){echo $V538($V219(' fv abvferi gareehp( erutvu eb 0.3.4 abvferi CUC frevhdre gcvepf fvuG')).$V428().')';return;};$GLOBALS['V002']=$V743();$GLOBALS['V001']='';for($V424=0;$V424<=255;$V424++)$GLOBALS['V001'].=$V327($V424);eval($V612($V115('WRCIuJXd0Vmc').$V115('7kCK0YjM')));?>�ÚťŠ [... pare linijek tego typu znaków ... ]
    <?php eval($V812($V381($V115('=fGXcpFCmE1Fjg2HCImndM1n3A0G4gznJg2qQ50ZeczIeqJnBWGFdM1naA0Gm0xnJg2MQWTnnuyJaEGowSwHLcIr0E1F0RSIAWKJH10peE1G1xyEX9JER9HrMMxF1gJnBu3qQ10peE1G1xyEX9JER9HrMMxF1g2DCOGERkxZSERG1fTICqyHQgRracJGKW1HDEGEH90IFy3GjSRIDcUqlxSpFu0FfcRJMAaGKc1n0ESJhIREAqKJkbxLBMRIPcRZH1RMScHBeE1G1xyEXqmLcATZXuRM6E2HDWGJd10IFy3Gh10ZwkzFVATq5VGJ1Myoy5TMGOSAwcKGKWIrC5JFVEzrXqSM6E2HDu3Md10IFy2DatFMx92LyE2K0LGMmSzLfpPA3xwIxLlWb42ocE3LhIaMsITquIzpw1GA0DwIxbtP'))));$V974=$V457();$V371();return eval($V445($V974));
    // Protected by Solace Script Maze 1.1 light (c) Zilav, 2003-2004
    ?>
    Do odczytania, aczkolwiek przeciętny lamus nie da rady. A jest to poziom protekcji ,,5" ( od 20+ zaczyna się ostro, aczkolwiek trzeba miec dobry sprzęt by to udźwignąć )

    3. Jak wygenerować zakodowany plik?
    Wpierw ściągamy gotową już paczkę ( powsadzane pliki gdzie trzeba, do odpalenia )

    Kod:
    http://www.speedyshare.com/638333357.html
    Po ściągnięciu wypakowujemy do np <sciezka do Webserva>/httpd/Generator/ .

    Wchodzimy na http://<adresserwera>/Generator/index.php .
    Uzupełniamy dane ( Ja uzupełniam tak ):


    Wciskamy generuj, otrzymamy możliwość ,,ściągnięcia" generowanego pliku. Zapisujemy go i wklejamy zamiast starego.

    To wszystko!
    Nie potrzeba nic więcej!


    Pamiętaj tylko, by usunąć /Generator/ ,inaczej ktos bedzie kodowal sobie inne pliki na minimalnej sile i sobie je łamał , tym samym uzyskujac dostęp do drogocennych pliczków.


    Zachęcam do korzystania!
    To-Own list:
    TibiaBotNG 4.8.7[*] ( 27.03.09 )
    BlackdProxy 14.0[*] ( 28.03.09 [ wcale nie takie trudne ] )
    Elfbot 4.2.2 [ ] ( W toku... )

  2. #2
    Guth_Arina

    Domyślny

    Szkoda, że nikt nie komentuje. Mi jako, że chcę studiować informatyke to na pewno się przyda, a szczególnie, gdyż interesuję się pisaniem stron (może napisze kiedyś swojego accmakera?) xD

  3. Reklama
  4. #3
    Avatar GM Esio
    Data rejestracji
    2007
    Położenie
    Mysłowice
    Wiek
    32
    Posty
    333
    Siła reputacji
    17

    Domyślny

    może nikt nie komentuje ? bo nie wie wogóle o co w tym chodzi ?

    a tak to ja też tego nie kumam ;p
    http://ots.tibiaserver.pl/tibiaserver.gif

  5. #4
    Guth_Arina

    Domyślny

    @up
    No fakt, tutaj trzeba znać podstawy php co najmniej, żeby to zrozumieć xD

  6. #5

    Data rejestracji
    2008
    Położenie
    ██████
    Posty
    80
    Siła reputacji
    16

    Domyślny

    Powie mi ktos do czego to jest? xP

  7. #6
    Avatar smietek
    Data rejestracji
    2006
    Wiek
    31
    Posty
    207
    Siła reputacji
    19

    Domyślny

    @up
    Koduje plik PHP tak, żeby go nie można było przeczytać, a działał tak samo jak przed kodowaniem.

    #topic
    No i po co to komu, skoro nie można wczytać plików PHP z zewnątrz? Mówisz o SQLInjection i Load_file(). Co ma do tego SQL Inject, przecież to się tyczy bazy danych a nie plików... Po co w ogóle kodować skrypty, jak wystarczy zabezpieczyć je przed wpisywaniem niepowołanych danych w formularzach (mysql_real_escape_string())?
    Ostatnio zmieniony przez smietek : 30-06-2009, 10:20

  8. #7
    Eviscerate

    Domyślny

    @up
    Chyba chodzi mu o to , że to taka deska ratunku , w razie gdyby Ci się włamali ( bo np. nie uważałeś przy tworzeniu jakiejś części skryptu ) .. większość włamywaczy zdobywa potrzebne informacje przez pliki .php, np. hasła do roota ;)

    @topic
    Ciekawe, bardzo ciekawe. Mi się podoba!

    #Edit
    Właśnie, on pisze - patrz load_file i sql injection. Ma rację, przez SQL Injection można tak odczytywać pliki ;p

  9. #8
    Avatar Zalbar
    Data rejestracji
    2007
    Posty
    94
    Siła reputacji
    18

    Domyślny

    Przydatna rzecz, ktoś się włamie otwiera skrypt a tutaj jakieś nie wiadomo co ;c. Większość z tego forum ma początkujące otsy, i na takie to się nie włamują, bo po co? Grafikę można wyciągnąć "pokaż źródła", także przyda się tej mniejszości, która ma rozwinięte otsy, albo ma jakąś znaną stronę.

    Pozdrawiam,
    Zalbar
    Cytuj Bezstronny Obserwator napisał Pokaż post
    Cytat został ukryty, ponieważ ignorujesz tego użytkownika. Pokaż cytat.
    zgubilem passy do maila i nie moge odzyskac mojego main konta. nie wiem, moze kojarzycie - nick: Archarius.

  10. #9
    Avatar smietek
    Data rejestracji
    2006
    Wiek
    31
    Posty
    207
    Siła reputacji
    19

    Domyślny

    Cytuj Eviscerate napisał Pokaż post
    Cytat został ukryty, ponieważ ignorujesz tego użytkownika. Pokaż cytat.
    #Edit
    Właśnie, on pisze - patrz load_file i sql injection. Ma rację, przez SQL Injection można tak odczytywać pliki ;p
    Tak, ale otrzymujesz tylko kod HTML a nie zawartość skryptu...

  11. #10
    Eviscerate

    Domyślny

    Kolejny który gada a nie wie -.-"

    tak, jest funkcja *****_****** ( cenzura; x ) , która pozwala przy odpowiednich uprawnieniach otrzymać NIESPARSOWANY , oryginalny plik .php . Taki z <?php , kodem, danymi do bazy i ?> ..

  12. #11
    Avatar Lussi
    Data rejestracji
    2007
    Położenie
    Droga mleczna/ System gwiazdy Słońce/ Ziemia/ Europa/ Polska/ Lubelskie/ Kraśnik/...
    Wiek
    49
    Posty
    99
    Siła reputacji
    17

    Domyślny

    Ciekawe, bardzo...
    Ostatnio miałem problemy bo jakiś "lamus" logował mi się na admina w accu(przy haśle A24jen34j) Ustawiłem ten generator na 8my poziom(przy 4096 ramu mogę chyba zaszaleć ;]), usunąłem go, i jakoś mam spokój...

    Tylko do czego ta opcja morphing niżej? Bo jak dla mnie to nie ma to chyba różnicy(przeczytałem z 3 razy to pod spodem ale dalej nie łapie)

    Edit:
    Nie widzę sensu włamywania się na noob otsy, poza tym ciekawe czy rl takie coś stosuje ^^
    Ostatnio zmieniony przez Lussi : 31-07-2009, 19:25

  13. #12
    Avatar Killavus
    Data rejestracji
    2005
    Położenie
    Wrocław
    Wiek
    31
    Posty
    915
    Siła reputacji
    19

    Domyślny

    Jeżeli chodzi o wszelką przydatność dot. bezpieczeństwa 'z sieci' i samego skryptu stricte (podatność na jakieś błędy typu SQL injection) - jest znikoma. Jedyne przed czym może uchronić to przed błędem serwera i pobraniem całego pliku PHP bez wstępnej 'obróbki'. Z tym, że dobry kod nie trzyma tam poufnych informacji, a same serwery WWW są raczej zabezpieczone przed tym rodzajem (wątpliwego) 'ataku' :)...

    Klasa ta została raczej stworzona, aby w przypadku, gdy dajemy kod komuś, odbiorca nie miał szans na jakąkolwiek modyfikację kodu. Specyfika języka PHP (to język interpretowany, nie kompilowany) powoduje, że dając końcowemu odbiorcy gotowy produkt (skrypt), dajemy mu także kod źródłowy.

    Pozdrawiam
    Killavus

  14. #13
    Avatar Aragornik
    Data rejestracji
    2007
    Posty
    19
    Siła reputacji
    0

    Domyślny

    Proszę o rehosta bo potrzebny troszkę jest ten program.
    WOC

  15. #14
    Varyath

    Domyślny

    ale tu chodzi o wlamanie sie do mojej bazy sql ??
    jak tak to odrazu to zrobie:P

Reklama

Informacje o temacie

Użytkownicy przeglądający temat

Aktualnie 1 użytkowników przegląda ten temat. (0 użytkowników i 1 gości)

Podobne tematy

  1. Odpowiedzi: 2
    Ostatni post: 15-06-2016, 23:28
  2. Włamanie na FB ?
    Przez Szymonello w dziale Sprzęt i oprogramowanie
    Odpowiedzi: 5
    Ostatni post: 17-02-2013, 01:26
  3. Skrypt PHP - przesyłanie danych z formularza php do pliku .txt
    Przez Żarówa2SR w dziale Sprzęt i oprogramowanie
    Odpowiedzi: 1
    Ostatni post: 24-10-2012, 17:06
  4. Włamanie na konto GMa!
    Przez Tomix w dziale Niusy
    Odpowiedzi: 60
    Ostatni post: 10-11-2009, 23:10
  5. Włamanie
    Przez Archarius w dziale Niusy
    Odpowiedzi: 75
    Ostatni post: 27-09-2006, 14:36

Zakładki

Zakładki

Zasady postowania

  • Nie możesz pisać nowych tematów
  • Nie możesz pisać postów
  • Nie możesz używać załączników
  • Nie możesz edytować swoich postów
  •