it-swarm.com.de

Gibt es eine Möglichkeit, eine PHP - Datei herunterzuladen, ohne dass sie ausgeführt wird?

Ich habe kürzlich eine Phishing-Mail von ungewöhnlich schlechter Qualität erhalten. "Bitte melden Sie sich sofort unter dem folgenden Link an, da wir Ihre Bank sind, wissen Sie" -ish. Der Link verweist auf eine nicht überzeugende URL mit .php Am Ende.

Ich habe mich gefragt, warum sie ein PHP - Skript verwenden könnten, anstatt nur das Aussehen der angegebenen Seite zu fälschen und eingegebene Daten an ein Formular zu senden.

Ich möchte nicht wirklich auf den Link klicken, um es herauszufinden, aber ich würde gerne wissen, was diese PHP Datei) zu tun hat. Gibt es eine Möglichkeit, das Skript herunterzuladen, wie z wie könnte man mit dem clientseitigen JavaScript?

Oder kann ich nicht auf die Datei PHP] zugreifen, da diese vom Server ausgeführt wird?

Gibt es andere Möglichkeiten, diese Datei und ihr Verhalten ohne Gefahr zu analysieren?

20
Zaibis

Wenn der Server korrekt konfiguriert ist, können Sie keine PHP - Datei herunterladen. Sie wird ausgeführt, wenn sie über den Webserver aufgerufen wird. Die einzige Möglichkeit, dies zu sehen, besteht darin, über SSH auf den Server zuzugreifen oder FTP oder eine andere Methode.

Dies liegt daran, dass PHP ist eine serverseitige Sprache, alle Aktionen werden auf dem Server ausgeführt, dann wird das Ergebnis an Ihren Browser (dh Client) gesendet Seite).

Wenn Sie Angst haben, mit Ihrem System in Konflikt zu geraten, können Sie Virtualbox mit einem Ubuntu VM) verwenden und die Seite von dort aus öffnen. Wenn Sie einen Schnappschuss von VM) machen = Nach der Installation und bevor Sie gefährliche Dinge tun, können Sie später zu diesem Snapshot zurückkehren und alles rückgängig machen, was das Skript an der VM hätte tun können.

65
SPRBRN

Wie andere gesagt haben, wird die Datei PHP) serverseitig ausgeführt, es sei denn, der Server ist so schlecht eingerichtet, dass er einfach der Quelle dient.

Wenn Sie untersuchen möchten, was an Ihren Client gesendet wird, ohne dass die Möglichkeit besteht, dass etwas Unangenehmes passiert, öffnen Sie die URL mit einem Texteditor wie Notepad. Verwenden Sie also File → Open aber öffne die URL anstatt einer echten Datei.

Der Server interpretiert die Anforderung und sendet das, was normalerweise gesendet wird, an einen Browser. Ihr Texteditor erhält es, aber ein Texteditor kann es nur anzeigen, wenn es bearbeitet werden soll. Es wird niemals in die Nähe eines Browsers oder einer anderen Rendering-Engine gelangen, die ausgeführt werden soll.

12
Andrew Leach

Die Datei .php Wird auf der Serverseite ausgeführt, sodass der Quellcode leider nicht abgerufen werden kann. Sie können jedoch versuchen, die URL in der Hoffnung zu manipulieren, dass der Systemadministrator einen Fehler gemacht hat.

Wenn ein Benutzer http://www.example.com/index.php besucht, generiert der Webserver die HTML-Antwort, indem /usr/bin/php Die Datei index.php Aus /var/www/html.

Webserver sind normalerweise so konfiguriert, dass nur .php - Dateien ausgeführt werden. Daher werden .jpg Oder andere Dateitypen wie gewohnt bereitgestellt.

Wenn ein vergesslicher Systemadministrator zu Sicherungszwecken eine Kopie der Datei .php Erstellt hat, können Sie die Kopie möglicherweise abrufen, ohne von /usr/bin/php Ausgeführt zu werden.

Wenn der Systemadministrator eine Kopie als /var/www/html/index.php.bak Erstellt hat, können Sie den Quellcode herunterladen, indem Sie http://www.example.com/index.php.bak mit Ihrem Browser aufrufen.

Das Auffinden dieser verbleibenden Dateien ist eine mühsame Aufgabe. Daher sollten Sie sich die automatisierten URL-Fuzzing-Tools ansehen.

Schließlich empfehle ich, curl zu verwenden, um diese Experimente durchzuführen, da JavaScript oder Flash auf Ihrem Computer nicht ausgeführt werden.

1
Gabor

Nein , können Sie nicht, weil PHP wird auf dem Server ausgeführt. Ende.

  1. Der Code muss nicht abgerufen werden, da er nicht auf Ihrem Computer ausgeführt wird. Daher besteht für Sie kein Sicherheitsrisiko.
  2. PHP wird Websites wie jede andere bedienen, so dass es keine PHP-spezifische Antwort gibt.

    Wenn Sie an einer allgemeinen Antwort interessiert sind, werfen Sie einen Blick auf Wie kann ich einen verdächtigen E-Mail-Anhang sicher überprüfen ? Die Antworten gelten auch für das sichere Öffnen von Websites.
1

Es gibt einen Weg if Der Server enthält einen LFI-Exploit: https: //www.owasp .org/index.php/Testing_for_Local_File_Inclusion .

Wenn der Server einmal richtig konfiguriert ist, sollte es jedoch nicht möglich sein, PHP Dateien) herunterzuladen.

Ich hatte kürzlich das Vergnügen, dies in einem von mir geerbten Projekt zu patchen, weshalb ich davon weiß. Man könnte PHP Skripte direkt herunterladen, indem man den Namen des gewünschten Skripts über $_GET[] was zählen würde.

Um ehrlich zu sein, müssten Sie etwas Glück haben, dass ein Exploit möglich ist, und Sie müssten auch herausfinden, wie das Dateisystem des Servers strukturiert ist (dh wie ist der relative Pfad des Skripts, an dem Sie interessiert sind, im Vergleich zu Das Skript, das die LFI-Sicherheitsanfälligkeit enthält. Wenn Sie also den Server erkunden möchten, verwenden Sie eine Sandbox/VM. Sie können Glück haben, wenn der Server tatsächlich schlecht konfiguriert ist, wie aus dem Kommentar von Gustavo Rodrigues hervorgeht.

1

Sie können nicht über HTTP, weil

A) In die Datei geschriebener PHP-Code wird vom http-Server aus der Datei gelöscht, bevor er an den http-Client gesendet wird

Ein HTML-Formular könnte also auf blah.php verweisen, das ein PHP-Snippet enthält, einen Code, der von PHP-Tags umgeben ist und prüft, ob das übermittelte Passwort = 1234 ist. Wenn Sie jedoch blah.php verwenden, wird dieser Code nicht angezeigt. (Selbst wenn der PHP-unterstützende Webserver Sie direkt blah.php abrufen ließ, ohne Sie umzuleiten, um eine andere Datei zu erhalten. Es ist nicht wirklich die blah.php auf dem Server, die Sie erhalten). Es ist blah.php, das vom Server verarbeitet wird, wobei der PHP-Code entfernt und durch den ausgegebenen PHP ersetzt wird. Oder mit welchem ​​clientseitigen Code (HTML/Javascript) sollte der ermittelte PHP-Code angezeigt werden.

und

B) Das PHP-Modul des HTTP-Servers führt jedes PHP aus und erzeugt die resultierende Datei, die an den Client gesendet werden soll.

Technisch gesehen kann eine HTML-Datei auf einem Server PHP enthalten. Es ist also nicht so, dass PHP-Dateien gefährlicher sind als HTML-Dateien. PHP-Code verarbeitet den Server und gibt dann andere clientseitige Inhalte aus, die in einer HTML-Datei enthalten sind wie HTML oder clientseitiges Javascript.

0
barlop