elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


  Mostrar Temas
Páginas: [1]
1  Foros Generales / Sugerencias y dudas sobre el Foro / Porque ocultan las imágenes del post en: 17 Marzo 2014, 00:52 am
Hola, me he dado cuenta que están ocultos las imágenes en algunos post, he visitado post antiguos que solia leer y ya no veo sus imágenes.. no es que las imágenes esten como no found, sino que estan ocultos por CSS:

Por ejemplo el gran tutorial de inyecciones no muestra sus imágenes:

Código:
http://foro.elhacker.net/nivel_web/gran_tutorial_sobre_inyecciones_sql_en_mysql-t247535.0.html

Si ven el codigo fuente encontrarán este archivo CSS
Código:
http://foro.elhacker.net/Themes/converted/css/style.css


Y al final del archivo hay un display none que oculta las imágenes ¬¬
Código:
.post img{display: none;}

Lo raro es que ese archivo CSS solo esta presente en algunos post.

Con firebug tengo que comentar esa línea para recién poder ver las imágenes


Saludos.
2  Seguridad Informática / Nivel Web / shell archivo.php.jpg se ejecuta sin problemas en: 12 Marzo 2014, 03:08 am
Hola, iré al grano... subi una shell que renombre archivo.php.jpg a un upload de archivos pero no tuve que hacer nada para bypasearlo y obvio que subio porque aparentemente es un archivo de "imagen" válido por su extensión final, pero cuando fui a verlo por su url: http://hosting.com/imagenes/archivo.php.jpg me muestra la shell sin problemas.

La carpeta y la raiz del sitio NO tienen ningún archivo .htaccess que permita ejecutar otras extensiones como php, y no solo eso, he subido otro archivo con un phpinfo y lo renombre: algo.php.txt.pdf y también me muestra el phpinfo completo.

Estuve investigando y vi que esto se debe a una configuración por defecto del servidor apache
http://www.php.net/manual/es/install.unix.apache2.php (punto #8)
pero no llego a entender como evitar todo esto.

Así que fuí a ver el archivo /etc/httpd/conf.d/php.conf de la web que tengo la shell (solo con fines educativos, no pienso hacer ningún deface)  y tiene esta config:


Código:
#
# PHP is an HTML-embedded scripting language which attempts to make it
# easy for developers to write dynamically generated webpages.
#
<IfModule prefork.c>
  LoadModule php5_module modules/libphp5.so
</IfModule>
<IfModule worker.c>
  LoadModule php5_module modules/libphp5-zts.so
</IfModule>

#
# Cause the PHP interpreter to handle files with a .php extension.
#
AddHandler php5-script .php
AddType text/html .php

#
# Add index.php to the list of files that will be served as directory
# indexes.
#
DirectoryIndex index.php

#
# Uncomment the following line to allow PHP to pretty-print .phps
# files as PHP source code:
#
#AddType application/x-httpd-php-source .phps


Y al parecer esta todo en orden, se ejecuta php solo a la extensión necesaria, aunque este usuario dice lo contrario pero no llega a la solución: URL

Así que me preguntaba, como podría solucionar este problema? que debo modificar??... claro que no puedo fixear este hackedhost por permisos pero quiero saber la solucion por si si algún jefe me lo pregunta o por si en el futuro me toca un hosting con esta configuración.

PD: agradecería leer solo soluciones de configuración del servidor apache o similar, filtros de php con librerias gd las leí todas y las aplico a diario.

Saludos.
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines