Abuse Melding

Je hebt een klacht over de onderstaande posting:

24-01-2014, 11:57 door fvandillen

Wat ik niet begrijp is hoe shellcode wordt geactiveerd op de remote machine (de 'benaderde' computer) zonder dat de gebruiker zelf files activeert. - Je hebt een webserver op je Mac die PHP draait, versie van PHP is niet echt relevant in deze. - PHP heeft functies genaamd eval(http://www.php.net/eval), exec(http://php.net/function.exec) en shell_exec(http://www.php.net/shell_exec). - eval() voert in principe alleen PHP code uit. - exec() stelt PHP in staat om externe programma's uit te voeren vanuit een PHP script. exec() kan ook output van het uitgevoerde commando returnen. - shell_exec() kan commando's naar je shell/terminal/commandline sturen. Ook hier kan de output weer door PHP worden ge-returned. Maar hoe kan een aanvaller dan commando's sturen via jouw PHP script? Stel, je hebt het volgende script: <?php $output = shell_exec($_GET['input']); echo $output; ?> Dit scriptje heet voorbeeld.php. Als ik dus naar jouw server ga en http://jouwserver/voorbeeld.php?input={commando hier} uitvoer, dan kan ik, ...

Beschrijf je klacht (Optioneel):

captcha