PHP in BASH
4 naročniki
4 naročniki
Pozdravljeni kolegi. Tokrat imam pa jaz problem in potrebujem vašo pomoč.
Programiram majhno skriptico v PHP in hočem z njo poslati neke podatke v bash...
PHP:
$scriptExecStr = sprintf("test.sh '%s' '%s'",
"mapa",
"dir",
);passthru($scriptExecStr);
test.sh:
#!/bin/bash
cd $1
mkdir $2
Zadeva je po logiki simple ampak mi ne deluje. Kaj bi lahko bilo preden dobim sivo frizuro? :)
Hvala za odgovore,
S.
14 odgovorov
Mogoče enkrat, trenutno imam kar nekaj projektov, vključno s predavanjem za MMC Pulsar (je gorenjska kiberpipa, skupaj smo v m3c mreži), kjer sem po novem glavni sistemski administrator, načrtujem neko delavnico postavitve strežnika itd, da se folk zna pravilno lotit zadeve, ker se hitro napake zgodijo že v začetku... kritično je prav načrtovanje tega. Če že v štartu zagnojiš je to potem težje popravljati naknadno in ti vzame ogromno časa.
Roky, ni čisto tako. Tudi če se zalaufa kot user, še vedno ni chrootan v svoj direktorij! Poleg tega, tudi če bi bil, še vedno ni to to, ker kaj hitro bypassaš chroot. Še vedno ma dostop do /tmp, in podobnih direktorijev na strežniku, pa čeprav do določenih direktorijev samo read... je že dovolj da vidi /etc/passwd in podobne kritične datoteke, ki podajo podatke o uporabnikih na sistemu... skratka ni to to. Proti vdorom se moraš boriti na drugačen način (recimo mod_security in suhosin...). Je pa res da je to vsaj osnovna zajezitev impacta, ki se zgodi ob vdoru... se čisto strinjam.
cpanela ne poznam do te mere da bi lahko kaj konkretno ti odgovoril. nikoli nisem bil za take komercialne rešitve, raje sem sam spisal celotno nadzorno ploščo, pa da je bila prirejena sistemu na katerem deluje... na žalost ne vem odgovora. Vem pa da je okrog krožilo kar nekaj exploitov za default inštalacije cpanela tako da... sama default inštalacija ne vem do kakšne mere je varna... verjetno pa ni preveč napačna, če jo uporabljajo major hosti, oz. jo predelajo do določene mere.