Обход защиты доступа к Php файлу через Defined

EmptyR

Веб мастер
06.10.2010
164
0
#1
Заметил, что часто встречается защита доступа к содержимому php файла с помощью выяснения, определена ли некоторая переменная. Например, в DLE:
PHP:
if( ! defined( 'DATALIFEENGINE' ) ) {
die( "Hacking attempt!" );
}
Появляются подозрения, что всё таки, это не выход. Хотел бы обсудить, возможен ли обход такой простой защиты, или нет?

Я смутно представляю, что обход теоретически возможен через доступный index.php, если в нём как то произвести инклудит этого запрещённого файла. Хотя сам не уверен в этом.
Если есть какие то доступные материалы по той теме, поделитесь, если не трудно.
 

1ive

Well-known member
12.09.2010
621
1
#2
Ты несешь что-то непонятное)

Твоя "Защита" - это просто проверка константы для модуля системы.
Тоесть изначально устанавливается "define('DATALIFEENGINE', true);" в index.php, а затем просто проверяется, дабы никто не умудрился запустить скрипт вне админки..

Получить "доступ к содержимому PHP" ты никаким образом не сможешь, хоть укакайся.

PHP:
define('DATALIFEENGINE', true);
include('../module.php');
 

EmptyR

Веб мастер
06.10.2010
164
0
#3
Согласен, я имел ввиду то, что возможно чтобы файл продолжал выполняться а не уходил в даун от die, т.е., чтобы сэмулировать существование переменной DATALIFEENGINE?
 

1ive

Well-known member
12.09.2010
621
1
#4
Я же написал выше:
Так он будет работать.
PHP:
define('DATALIFEENGINE', true);
include('../module.php');
 

EmptyR

Веб мастер
06.10.2010
164
0
#5
Т.е., именно обойти это невозможно? Просто мне стало интересно тестировать сайты на обход такой защиты (доступа непосредственно к файлам). Вот и начал думать, реально ли.
 

1ive

Well-known member
12.09.2010
621
1
#6
:facepalm: Я же уже готовый способ обхода написал, не тупи..
 

EmptyR

Веб мастер
06.10.2010
164
0
#7
Ты так и не понял, что я хочу... Ещё раз. Нужно произвести атаку на стороний сайт, и выполнить файл, в котором стоит блокировка выполнения через defined. Ничего менять в php файле я не могу. Мне просто нужно обойти защиту.
 

1ive

Well-known member
12.09.2010
621
1
#8
Бл..ть.
Я показал единственный возможный способ.
Если на сервере жертвы включен allow_url_fopen, создаешь на своем сервере скрипт с кодом:
PHP:
define('DATALIFEENGINE', true);
include('http://ololo.com/ya-mudak/path/module.php');
И запускаешь.

Других способов нет.


Или ты думаешь что все такие идиоты, а ты умный такой заметил уязвимость, с помощью которой можно сломать интернет?!?!
 

EmptyR

Веб мастер
06.10.2010
164
0
#9
Уважаемый 1ive, а слабо ли вам общаться с людьми нормально? Я же не пишу подобное. Только в последнем посте был получен нормальный ответ, до этого было похоже, как будто я буду менять свои файлы, чтобы обойти защиту у самого себя.

Или ты думаешь что все такие идиоты, а ты умный такой
А по чайнику не хотите ли, уважаемый? Решайте за себя, что вы думаете о людях, я отношусь с уважением ко всем, даже к таким хамам. Как говорится, кто мне запрещает относиться к вам так же, уважаемый? Наверное соблюдение правил форума (исключая это сообщение, сами спровоцировали), и воспитание. Поэтому прошу, если "прёт", лучше вообще не отписываться по теме, чем начинать хамить.

P.S.: Просто интересно, каким образом вас называли, когда вы чего то не знали, и просили помощи? Ах да, уже родились мега гуру... Прошу прощения, я человек.
 

1ive

Well-known member
12.09.2010
621
1
#10
Если заговорили об этом, я никогда не задавал никаких вопросов никому.
И за каждый процент своего ЧСВ я могу ответить.

А тебе бы хоть иногда стоило бы поразмыслить над данными тебе ответами.