code chelou

code chelou - PHP - Programmation

Marsh Posté le 23-06-2005 à 21:28:56    

en me baladant sur je ne sais plus quel site, un click sur un lien m'a permis de telecharge un page au format php.  :??:  
je l'ai sur mon HD.
on y trouve du code genre:

Code :
  1. Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( ¹ïÿ É>ñ7ý‚®ôSWC\÷Žÿ äŸx›þÁW?ú)¨ ð'ü“ï ÿ Ø*Ûÿ E-t5ÏxþI÷†ìmÿ ¢–º (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š +žñßü“ïØ*çÿ E5t5ÏxïþI÷‰¿ìsÿ ¢š€É>ðÏý‚­¿ôR×C\÷?äŸxgþÁVßú)k¡ Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( ¹ïÿ É>ñ7ý‚®ôSWC\÷Žÿ äŸx›þÁW?ú)¨ ð'ü“ï ÿ Ø*Ûÿ E-t5ÏxþI÷†ìmÿ ¢–º (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š +žñßü“ïØ*çÿ E5t5ÏxïþI÷‰¿ìsÿ ¢š€É>ðÏý‚­¿ôR×C\÷?äŸxgþÁVßú)k¡ Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( Š( ¹ïÿ É>ñ7ý‚®ôSWC\÷Žÿ äŸx›þÁW?ú)¨ ð'ü“ï ÿ Ø*Ûÿ E-t5ÏxþI÷†ìmÿ ¢–º (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š (¢Š +žñßü“ïØ*çÿ E5t5ÏxïþI÷‰¿ìsÿ ¢š€É>ðÏý‚­¿ôR×C\÷?äŸxgþÁVßú)k¡ Š( Š( Š( Š( Š( Š


 
mais keyckeceyyk ce bordeyyyl de code chelou? http://forum-images.hardware.fr/icones/message/icon10.gif
 
c'est des données cryptées? encodées? compressées?
et pourquoi que j'ai pu le telecharger?

Reply

Marsh Posté le 23-06-2005 à 21:28:56   

Reply

Marsh Posté le 23-06-2005 à 21:29:27    

zend encoder non ?
 
Ou passé via un mod_gzip


Message édité par elianor le 23-06-2005 à 21:29:42

---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 23-06-2005 à 21:38:46    

ah zend encoder, je connaissais pas. ça à l'air puissant comme truc.  :jap:  
 
les fichiers compressé via Zlib n'ont pas une extension .gz?  :??: rien à voir?

Reply

Marsh Posté le 23-06-2005 à 21:39:53    

pmusa a écrit :


les fichiers compressé via Zlib n'ont pas une extension .gz?  :??: rien à voir?


 
On peut faire de la compression/decompression à la volée, c'est transparent pour l'utilisateur, et ça fait transiter moins de données. Par exemple, il me semble que ce forum l'uytilise (va voir dans les options)


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 23-06-2005 à 21:43:58    

ok.  
j'viends de regarder vite fait et il semblerai que cette page gere une image GD.  :??:  
je vais essayer un gzdecompress(), ça m'intrigue c'truc.  [:airforceone]

Reply

Marsh Posté le 23-06-2005 à 21:47:12    

pmusa a écrit :

ok.  
j'viends de regarder vite fait et il semblerai que cette page gere une image GD.  :??:  
je vais essayer un gzdecompress(), ça m'intrigue c'truc.  [:airforceone]


 
C'est faisable aussi :o
 
http://rincevent.dyndns.org/cgi-bin/image.sh
http://rincevent.dyndns.org/cgi-bin/image.txt
http://rincevent.dyndns.org/cgi-bin/image.php


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 15:19:35    

comme t'ad feyyy? http://forum-images.hardware.fr/icones/message/icon10.gif
 
on peut voir la source?  :)  
 
mon gzuncompress() donne rien.  :??:

Reply

Marsh Posté le 24-06-2005 à 15:22:47    

Ca pourrait etre un fichier (binaire) avec un header(content-type: plain/text)

Reply

Marsh Posté le 24-06-2005 à 15:29:10    


kadreg@rincevent:/etc/apache/cgi-bin$ cat image.sh
#!/bin/sh
echo "content-type: image/png"
echo
 
cat /home/httpd/default3/board/maine.gif
kadreg@rincevent:/etc/apache/cgi-bin$


Message édité par elianor le 24-06-2005 à 15:29:40

---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 16:19:14    

uè mais c'est du cgi.  :)

Reply

Marsh Posté le 24-06-2005 à 16:19:14   

Reply

Marsh Posté le 24-06-2005 à 16:20:17    

pmusa a écrit :

uè mais c'est du cgi.  :)


 
Le principe change pas, on spécifie le content-type, et on envoie le  flux [:spamafote]
 


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 16:28:27    

pmusa a écrit :

en me baladant sur je ne sais plus quel site, un click sur un lien m'a permis de telecharge un page au format php.  :??:  
je l'ai sur mon HD.
on y trouve du code genre:


 
C'est pas par hasard une image qui a la mauvaise extension simplement ? Il y a quoi au tout début du fichier ?


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
Reply

Marsh Posté le 24-06-2005 à 16:32:09    

non non même pas antp.  
extension en .php [:dawa]
 
 
 
 
Elianor, je pourrais avoir un exemple en php stp?  :jap: ou juste un listing des fonctions directrices.
 
edit:
 
un extrait des premières lignes:

Code :
  1. ÿØÿà JFIF      ÿþ >CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), default quality
  2. ÿÛ C   
  3. 
  4.  $.' ",#(7),01444'9=82<.342ÿÛ C     
  6. 2!!2


Message édité par pmusa le 24-06-2005 à 16:35:30
Reply

Marsh Posté le 24-06-2005 à 16:37:53    

pmusa a écrit :


un extrait des premières lignes:

Code :
  1. ÿØÿà JFIF      ÿþ >CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), default quality
  2. ÿÛ C   
  3. 
  4.  $.' ",#(7),01444'9=82<.342ÿÛ C     
  6. 2!!2



 
C'est un fichier jpeg créé par la librairie GD.  
 
http://www.php.net/manual/en/ref.image.php
 
exemple 1 :o


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 16:39:09    

bah ouais c'est certainement une image envoyée sans le bon type mime

Reply

Marsh Posté le 24-06-2005 à 16:40:56    

pmusa a écrit :

non non même pas antp.  
extension en .php [:dawa]
 
[...]
 
un extrait des premières lignes:

Code :
  1. ÿØÿà JFIF      ÿþ >CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), default quality
  2. ÿÛ C   
  3. 
  4.  $.' ",#(7),01444'9=82<.342ÿÛ C     
  6. 2!!2



 
Heu ton truc c'est clairement un JPEG... renomme ça en .jpg et tu verras le vrai contenu :o
Donc c'est exactement ce que je disais [:kiki]


Message édité par antp le 24-06-2005 à 16:41:22

---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
Reply

Marsh Posté le 24-06-2005 à 16:43:06    

j'ai deja fais remarquer qu'il s'agissait d'un GD.
je vais essayer antp.
 
edit:
antp is right.  :jap: j'ai un image.
et c'est quoi le problème alors avec ce fichier? le gars a renommé son mon_fichier.jpg en mon_fichier.php?  :heink:
 
comment se fait-il que je puisse telecharger ce fichier? mauvais MIME vous avez dit?


Message édité par pmusa le 24-06-2005 à 16:47:15
Reply

Marsh Posté le 24-06-2005 à 17:41:26    

pmusa a écrit :

et c'est quoi le problème alors avec ce fichier? le gars a renommé son mon_fichier.jpg en mon_fichier.php?  :heink:


Non, il a généré dynamiquement l'image [:spamafote]


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 24-06-2005 à 17:42:40    

pmusa a écrit :


comment se fait-il que je puisse telecharger ce fichier?


 
tu utilise firefox ou mozilla ?


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 17:48:47    

MSIE. (uè c'ey mal mais je suis pas sur mon peycey... le mien est HS now  :sweat: )
 
Elianor explique moi ton tuc avec l'image et le fichier txt.  :heink: stp

Reply

Marsh Posté le 24-06-2005 à 17:50:35    

pmusa a écrit :


Elianor explique moi ton tuc avec l'image et le fichier txt.  :heink: stp


 
Une extension, ça ne veut rien dire [:spamafote]


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 17:55:24    

ué je crois comprendre. tu envoie des header specifiques au serveur?
c marrant comme truc.
 
crache le code.  :D

Reply

Marsh Posté le 24-06-2005 à 17:56:20    

Ca fait deux fois que je crache le code. Une fois en shell pour un cgi, et une fois en PHP, ça ssuffit, il faut suivre un peu [:spamaftoe]


---------------
JE JE SUIS LIBERTINEEEEEEEEEEE JE SUIS UNE CATINNNNNNNNN §§§§§§§§
Reply

Marsh Posté le 24-06-2005 à 18:02:14    

pmusa a écrit :

MSIE. (uè c'ey mal mais je suis pas sur mon peycey... le mien est HS now  :sweat: )
 
Elianor explique moi ton tuc avec l'image et le fichier txt.  :heink: stp


1- Ton navigateur ne connait pas les extensions, et à vrai dire il s'en branle, il n'a pas à les connaître, les extensions de fichiers sont illogiques.
2- Donc le navigateur va utiliser un autre mécanisme, qu'on appelle le type mime (MIME-TYPE). Ce type MIME lui est envoyé par le serveur web juste avant le fichier lui même (dans les headers HTTP).
 
Le principe, c'est que le serveur dit au navigateur "là je vais t'envoyer un fichier du type X", puis il envoie le fichier et le navigateur le traite  comme il le peut/veut.
 
Résultat, avec une lib de création d'images tu peux créer ton image via du code PHP (ou Python, ou Perl, ou n'importe quoi d'autre), tu demandes au serveur web d'envoyer un type MIME correspondant à ton image et tu balances l'image.
Elle n'aura pas une extension d'image (son extension sera .php, .phtml, .psp, .cgi, .jsp ou n'importe quoi d'autre) mais elle n'en sera pas moins une image, et le navigateur la traitera normalement comme telle...
 
si l'administrateur et le codeur n'ont pas oublié de bien gérer leurs types mime au niveau de la config du serveur et de la création du script...


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 24-06-2005 à 18:04:20    

oh pardon je t'ai faché(e).  :D  
 
 :jap: --> content-type is da rule
 
bon bah c'est tout ce que je voulais savoir.  
 
.... ou pt'être: on peut decoder ce truc pourris là?   :heink:
 
edit:
Masklinn t'es trop serviable.  :jap:  
 
donc si j'ai suivi, le webmaster qui a developpé le fichier que j'ai pu download à omis d'indiquer le content-type? ça ne genère pas d'erreur pourtant sous la lib GD d'oublier de le stipuler en debut de fichier?  :??:


Message édité par pmusa le 24-06-2005 à 18:08:07
Reply

Marsh Posté le 24-06-2005 à 18:09:04    

pmusa a écrit :

oh pardon je t'ai faché(e).  :D


 
Non, c'est son état normal.
Enfin, il était même très calme là :o


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
Reply

Marsh Posté le 24-06-2005 à 18:15:24    

MSIE concidere le type mime "text/plain" si :
- il ne recoit aucun type mime
- il n'arrive pas a reconnaitre le type de données
 
donc le mec qui a crée le script qui genere l'image a effectivement oublié de specifier le type mime :

header("Content-type: image/jpeg" );


 
(si cest du jpg biensur :))

Reply

Marsh Posté le 24-06-2005 à 18:17:33    

c'est moi qui lui fait cet effet?  :D  
faut me pardonner, je suis long à la detente hein. je decouvre php tous les jours un peu plus...
 
ok psyjc.  :jap:

Reply

Marsh Posté le 24-06-2005 à 18:41:01    

pmusa a écrit :

donc si j'ai suivi, le webmaster qui a developpé le fichier que j'ai pu download à omis d'indiquer le content-type?


C'est plus que probable.

Citation :

ça ne genère pas d'erreur pourtant sous la lib GD d'oublier de le stipuler en debut de fichier?  :??:


La lib GD ne crée pas de fichier, elle crée des données.
 
Le fichier n'est qu'un conteneur, GD sert à générer ce qui est à l'intérieur complètement indépendement du fichier lui même, et les headers sont les meta-informations du fichier.
 
Comment GD pourrait-elle ne serait-ce que voir des informations sur le fichier alors qu'elle même ne s'occupe même pas du fichier dans son ensemble? C'est totalement découplé. C'est un peu comme demander pourquoi la manette de réglage du siège conducteur de ta voiture n'est pas capable de détecter si t'as laissé tes phares allumés ;)


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 24-06-2005 à 18:45:39    

azubal a écrit :

donc le mec qui a crée le script qui genere l'image a effectivement oublié de specifier le type mime :

header("Content-type: image/jpeg" );


 
(si cest du jpg biensur :))


Il peut même faire express.  :whistle:  

Reply

Marsh Posté le 24-06-2005 à 18:51:04    

non non je me suis mal exprimé Masklinn... je voulais parler du "moteur php". il n'affiche pas de message d'erreur?
là, si on omet le content-type, c'est comme si dans une session on oubliait un session_start et quon commencerai à mettre des valeurs dans des varaibles de session. nan?  :heink:  
 
 
 
ultime affirmation:  :D  
je peux creer un fichier "mon_image.paidai" et mentionner mon mime-type et le serveur va parser le code qu'il y a dedans???
mais pourquoi le serveur lui même va le trater?? c'est vrai, la "page" n'est envoyé au serveur que si son extension est .php, .phtml, etc...  :??: or la c'est le client qui devrait directement m'afficher la source, carrement, sur une page, ou me la proposer en telechargement s'il ne reconnait pas l'extension.  :??:  
 
oui aujourd'hui c'est vendredi, j'ai fais des heures supp', et je suis chiant.  :D
 
edit:
 
@the-shadow >> pourkoi il ferait exprès?


Message édité par pmusa le 24-06-2005 à 18:52:20
Reply

Marsh Posté le 24-06-2005 à 18:57:12    

pmusa a écrit :

non non je me suis mal exprimé Masklinn... je voulais parler du "moteur php". il n'affiche pas de message d'erreur?
là, si on omet le content-type, c'est comme si dans une session on oubliait un session_start et quon commencerai à mettre des valeurs dans des varaibles de session. nan?  :heink:


Le moteur PHP s'en branle, il ne s'en occupe pas, celui qui gère ça est le serveur web (apache, IIS, ...) et les serveurs web ont des MIMES par défaut si aucun type MIME ne correspond et qu'aucun n'a été envoyé par la page.

Citation :

je peux creer un fichier "mon_image.paidai" et mentionner mon mime-type et le serveur va parser le code qu'il y a dedans???


Ca dépend du serveur que tu veux.
 
Si tu dis à Apache par exemple que les fichiers ".paidai" doivent être traités par l'interpréteur PHP, alors oui Apache va envoyer les fichiers à PHP, celui ci va les parser et les exécuter et va envoyer le résultat à Apache.
 
Si tu dis à Apache que les fichiers .paidai sont des images gif alors il va les envoyer au client en tant qu'images GIF

Citation :

mais pourquoi le serveur lui même va le trater??


parce que c'est son boulot [:spamafote]  

Citation :

c'est vrai, la "page" n'est envoyé au serveur que si son extension est .php, .phtml, etc...  :??:


non.
 
Le serveur, c'est le serveur HTTP auquel ton PC se connecte pour demander des pages. Toi ce dont tu parles, c'est de l'interpréteur PHP. PHP n'est pas un serveur, c'est un logiciel appelé par le serveur HTTP quand on l'a configuré pour.

Citation :

@the-shadow >> pourkoi il ferait exprès?


Pour forcer un téléchargement ou montrer un code source.
 
C'est probablement pas le cas ici, mais c'est l'une des possibilités


Message édité par masklinn le 24-06-2005 à 18:57:56

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 24-06-2005 à 19:05:08    

okey je vois, tu m'as bien compris et repris.  :jap:  
 
quote Masklinn: "ou montrer un code source"
pour lui c'est pas gagné. [:dawa]
on peut arriver à dechiffrer son truc? et quand j'y pense... ça pourrais même être une faille de secu ça non?  :(

Reply

Marsh Posté le 24-06-2005 à 19:07:20    

pmusa a écrit :

on peut arriver à dechiffrer son truc? et quand j'y pense... ça pourrais même être une faille de secu ça non?  :(


Pourquoi cela.
Un script PHP qui génère une image reste un script PHP parsé par le serveur et éliminé du code chez le client.
 

Reply

Marsh Posté le 24-06-2005 à 19:09:28    

pmusa a écrit :

on peut arriver à dechiffrer son truc? et quand j'y pense... ça pourrais même être une faille de secu ça non?  :(


Pas plus que d'ouvrir une image dans ton éditeur de texte préféré [:dawa]


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 24-06-2005 à 19:10:33    

t'es sur que c'est pas peut-être la source même que j'ai là?  :??: parce que si il avait été interprété, j'aurai pas pu le telecharger.  :)

Reply

Marsh Posté le 24-06-2005 à 19:12:17    

pmusa a écrit :

t'es sur que c'est pas peut-être la source même que j'ai là?  :??: parce que si il avait été interprété, j'aurai pas pu le telecharger.  :)


Ca te dérange tant que ça d'essayer de comprendre ce que j'écris? [:petrus dei]
 
En quoi le fait que tu l'ais téléchargé empêche que ça ait été interprété?


---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 24-06-2005 à 19:13:20    

pmusa a écrit :

t'es sur que c'est pas peut-être la source même que j'ai là?  :??: parce que si il avait été interprété, j'aurai pas pu le telecharger.  :)


Sisi ;)
Tiens, regarde sur le site de ma femme : http://www.gloriette-artemis.net
va dans les albums photos http://www.gloriette-artemis.net/index.php?page=25
et fait "afficher l'image" (si tu es sous FireFox) sur une image ou fais enregistrer l'image. ;)

Reply

Marsh Posté le 24-06-2005 à 19:14:13    

masklinn a écrit :

Pas plus que d'ouvrir une image dans ton éditeur de texte préféré [:dawa]


 
ah ué!  :love:  
 
ultime question:  :lol:  
 
grossièrement, ce que je viens de telecharger c'est ni plus ni moins une image jp(e)g? [:dawa]

Reply

Marsh Posté le 24-06-2005 à 19:15:26    

pmusa a écrit :


grossièrement, ce que je viens de telecharger c'est ni plus ni moins une image jp(e)g? [:dawa]


Non, pas grossièrement, c'est tout à fait ça. :D

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed