今天发现一个php文件，可以毁掉一个hm主机的所有网站文件

liaoliaoge

我购买的hm主机，1500GB，自己能用完吗？肯定不能，于是就给其他朋友一起使用

但是hm没有办法让子ftp用户登陆进行web管理吧（我没有发现怎么样使子ftp用户登陆在线管理这个功能，谁发现可以让子ftp帐户可以在线管理自己的空间，请回复分享一下，谢谢）

由于没有办法让子ftp用户在线管理自己的空间和域名，以及进行zip压缩、删除文件等

于是有一个用户上传了一个php文件，在地址栏直接输入url就可以访问使用，这个php文件可以对他主机的ftp目录里面的文件进行删除、下载、复制、编辑等等操作
更重要的是，我发现这个php文件可以返回上一级目录，也就是高于他的ftp权限的上一级目录，可以直接查看到其他人的ftp目录里面的网站文件，可以任意删除、下载、复制、编辑、查看比人的ftp里面的任何文件
这样就严重的影响了其他用户的网站的安全性

为了说明的详细一点，我举个例子，我们知道hm的主机结构是说有的网站放在public_html文件夹下
假如：A用户的ftp名是ftpa，访问的目录是public_html/a.com文件夹
B用户的ftp名是ftpb，访问的目录是public_html/b.com文件夹

那么如果A用户在主机的ftpa对应的ftp目录public_html/a.com文件夹放置了这个123.php
那么只要输入http://a.com/123.php，那么任何人都可以删除、复制、下载、编辑a.com中的任何文件

更要命的是，这个php文件可以返回上几级目录，可以看到public_html下面的所有文件夹，所有的绑定的网站域名，所有的ftp文件他都可以进行删除



甚至可以返回到总ftp帐户才能访问的主机的根ftp目录，并进行为所欲为的操作


这是不是hm对磁盘权限要求不严格，或者说是主机漏洞？

我已经测试过了，在这里我不公布这个文件名，如果公布大家一搜索就可以找到很多地方提供下载。
如果老大有时间，请pm我一下，我将文件发给你，你测试下是不是这样。现在我都不敢贸然给其他人使用hm了，生怕文件被删除

说明下，不是大家常用的PHPCMS 文件管理器

liaoliaoge

希望引起老大的关注

usedianxin

呵呵，还是自己独立ip好啊。才不做那些reseller

神猪

无聊  我还以为什么原子弹呢 ?

能往上走几级 ??public_html 再往上是帐号目录吧..?

再往上 ??  能进别人的帐号管理文件吗 ??

神猪

原帖由 usedianxin 于 2008-4-16 12:51 PM 发表
呵呵，还是自己独立ip好啊。才不做那些reseller

独立IP 只是你的帐号用这个IP而已 ~

不是独立服务器 ~ 真象他说的可以往上好几级还有权限的话

那还是废了 ~~ 不过可能性不大 ~~  这种基本的东西 HM 都做不到的话不用活了

usedianxin

当然关键就是他这个办法能搞定整台机器，那就没办法啦。
这样弄一经发现HM也会直接干掉他账户。哈哈。

神猪

原帖由 usedianxin 于 2008-4-16 12:57 PM 发表
当然关键就是他这个办法能搞定整台机器，那就没办法啦。
这样弄一经发现HM也会直接干掉他账户。哈哈。

不可能  我坚决不信

一般来说主机商限制 ` 每个帐号只对自己帐号下的目录具有所有权限
`
对其他目录没权限      HM 要是不限制的话早OVER了 ~

不用活到现在  ~ 大惊小怪 ~

usedianxin

;P ;P

liaoliaoge

原帖由 usedianxin 于 2008-4-16 12:57 PM 发表
当然关键就是他这个办法能搞定整台机器，那就没办法啦。
这样弄一经发现HM也会直接干掉他账户。哈哈。

不会干掉同一个ip上的其他帐户
但是可以干掉你一个帐户下的其他多个域名的网站
如果想测试，pm我，我发文件给你测试，但是不要删除别人的站点啊

liaoliaoge

原帖由 神猪 于 2008-4-16 12:51 PM 发表
无聊  我还以为什么原子弹呢 ?

能往上走几级 ??public_html 再往上是帐号目录吧..?

再往上 ??  能进别人的帐号管理文件吗 ??

能进入到你的总ftp帐号的总目录
不能进入同一台服务器上的其他帐号的总目录

但是能进入你的public_html以及public_html上一级目录就足可以删除你的其他域名的站点
如果想测试，我可以pm我，我给你文件你测试测试
不过，请不要删除别人的站点啊