[HaBo]

gugugs · 14.01.08, 18:02

Ihr werdet jetzt womöglich schon wieder denken, o. nein, nicht schon wieder so ein Depp der versucht irgendein Kinderkram zu hacken. Und wenn schon, es interessiert mich einfach mal. Und zwar: kann man per PHP Daten von einem Computer auslesen? Also ich meine, von z.B. so einem Pfad: C:\Users\cR34Ti0n\Desktop. Oder gibt es irgendeinen anderen Weg, Daten von einem PC, der diese Seite gerade aufruft aufzurufen?

valenterry · 14.01.08, 18:07

Zitat:

Original von gugugs
Ihr werdet jetzt womöglich schon wieder denken, o. nein, nicht schon wieder so ein Depp der versucht irgendein Kinderkram zu hacken. Und wenn schon, es interessiert mich einfach mal. Und zwar: kann man per PHP Daten von einem Computer auslesen? Also ich meine, von z.B. so einem Pfad: C:\Users\cR34Ti0n\Desktop. Oder gibt es irgendeinen anderen Weg, Daten von einem PC, der diese Seite gerade aufruft aufzurufen?

Jo, z.B. mit zertifizierten(!) Java Applets oder Javascript. Aber das, was du wohl vorhast, ist nur über eine Schwachstelle zu erreichen.

Anzeige

- Anzeige -

rusty-spoon · 14.01.08, 18:13

PHP wird Serverseitig ausgeführt, d.h. das Script wird erst auf dem Server abgearbeitet und dann dem Client als Fertiges Ergebniss Präsentiert. Also wird PHP schonmal wegfallen.

Man kann aber zB den Inhalt der eigenen Dateien per URL (zB file://c/ ) in einem iFrame einbinden. Ich kann mir auch vorstellen dass man den Ordnerinhalt per Javascript einlesen kann und dann zB die Dateinamen im Verzeichniss an ein anderes Script schickt dass diese Speichert.

(Falls ich mich irre bitte berichtigt mich)

Möglich wäre dass ganze aber nur wenn im entsprechenden Browser Javascript auch aktiviert ist

gugugs · 14.01.08, 18:30

Hm, okay. Ich kann schon etwas PHP. Würde es schwer sein nur diesen Befehl mit Java das man Datein von PCs auslesen kann zu lernen? Oder müsste ich jetzt eher, die ganze Programmiersprache Java lernen? So ne Art Crashcourse?^^ Denn ich hab eig. nicht unbedingt vor jetzt die ganze Sprach zu lernen^^ Gibt es ein Möglichkeit?

metax. · 14.01.08, 18:52

Pff. Was glaubst du, was los wäre, wenn jeder Webseitenbetreiber nach Belieben auf den Client-Festplatten rumpfuschen könnte?
Es gibt meines Erachtens (wenn man Sicherheitslücken ausschließt) nur 3 Möglichkeiten, an lokale Clientdaten ranzukommen (abgesehen, von normalen HTTP-File-Uploads).

1. Du schreibst ein Java-Applet und schaffest, es dieses von offizieller Seite zertifizieren zu lassen, weil dich sonst die Sandbox nicht an das lokale Dateisystem heranlässt.
http://java.sun.com/j2se/1.4.2/docs/...spec.doc1.html
Wenn du kein Java kannst, vergiss es wieder. So schnell geht das nicht.

2. Du versuchst das Ganze mit ActiveX. Da ActiveX allerdings nicht gerade zu den sichersten und vertrauenswürdigsten Techniken zählt (weil eben ActiveX-Komponenten allen möglichen Kram dürfen, den man lieber nicht jedem erlaubt), ist ActiveX meines Wissen mittlerweile im Grunde geächtet und du wirst nicht viele finden, die so einen Quatsch installieren.

3. Du schreibst ein Browserplugin, welches die Dateien ausliest. Scheitert auch vermutlich an dem rudimentären Sicherheitsbewusstsein und der Bequemlichkeit der Besucher.

Javascript kommt imho ohne Sicherheitslücken auch nicht sehr weit in's lokale Dateisystem.
Mit PHP geht's schon mal garnicht, weil PHP nicht auf dem Client ausgeführt ist, also auch nicht an lokale Strukturen rankommt.
Ich würde also sagen, ohne irgendwelche Exploits ist man relativ sicher, falls man sich nicht selbst eine derartige aktive Komponente installiert.

mfg, metax.

gugugs · 14.01.08, 19:12

Oukay, hab ich mir auch schon gedacht. Wär ja schon ziemlich heftig wenn das gehen würde.
Könnte man einen php Upload machen, in dem man einen standart Wert festlegt, der an die Datei geht, die man haben will?^^

Wenn nicht, wie kommen denn überhaupt gewisse Hacker an die Dateien? Ich denke man, die Datei in denen die ICQ Passwörter sind, wird wohl nicht allzu schwer zu finden sein. Doch wie schafft man sich diese bei?

metax. · 14.01.08, 19:21

Zitat:

Original von gugugs
Könnte man einen php Upload machen, in dem man einen standard (autom. korrigiert) Wert festlegt, der an die Datei geht, die man haben will?^^

Nein.

Zitat:

Original von gugugs
Wenn nicht, wie kommen denn überhaupt gewisse Hacker an die Dateien? Ich denke man, die Datei in denen die ICQ Passwörter sind, wird wohl nicht allzu schwer zu finden sein. Doch wie schafft man sich diese bei?

Zum Teil wohl durch Exploits.
Jede nichttriviale Software enthält normalerweise Fehler und es sind manchmal auch Sicherheitslücken in Browsern dabei, die das Ausspähen von lokalen Dateien ermöglichen.
Ansonsten ist Social Engineering schätzungsweise die beliebteste und erfolgversprechendste Weise, um an solche Informationen zu gelangen.

mfg, metax.

BigDevil · 14.01.08, 19:26

Zitat:

Original von gugugs
Wenn nicht, wie kommen denn überhaupt gewisse Hacker an die Dateien? Ich denke man, die Datei in denen die ICQ Passwörter sind, wird wohl nicht allzu schwer zu finden sein. Doch wie schafft man sich diese bei?

Soetwas machen keine Hacker. Das sind irgendwelche Kiddies, die mit Trojanern um sich schmeißen und hoffen das irgendwer auf sie reinfällt.

ivegotmail · 14.01.08, 19:27

Zitat:

Original von metax.
1. Du schreibst ein Java-Applet und schaffest, es dieses von offizieller Seite zertifizieren zu lassen, weil dich sonst die Sandbox nicht an das lokale Dateisystem heranlässt.

Kleine Anmerkung: Man muss keine "offizielles" Zertifikat haben, man kann sich auch selber eines erzeugen und dieses nutzen um die Anwendung zu signieren. Natürlich ist dies nicht vertrauenswürdig bzw eindeutig indentifizeribar, aber solange der Nutzer das Zertifikat annimmt, ist das ausreichend und praktikabel.

gugugs · 14.01.08, 19:31

Wenn wir schon bei dem Thema sind...^^ Wie haben richtige Hacker die es auch gut können, das hacken gelernt? Irgendwie müssen sie ja auch klein angefangen haben, und mit trojanern erst mal um sich geschmissen haben, um auszuprobieren und zu hoffen, was klappt und was nicht. WO ist der Ansatz? Jeder sagt nur z.b. ICQ Hacking ist Kinderquatsch. Nicht unbedingt falsch, aber wie haben denn so manche proffessionellen Hacker das hacken gelernt? Wie gesagt, wo ist der Ansatz?

BigDevil · 14.01.08, 19:34

In dem man lernt wie alles funktioniert. Wenn man weiß wie etwas funktioniert, kennt man auch seine Schwachstellen und kann diese ausnutzen.

Im übrigen solltest du dich mal im Wiki (oben auf der Seite zu finden) über die Bedeutung des Wort Hackers informieren.

metax. · 14.01.08, 19:40

Zitat:

Original von BigDevil
In dem man lernt wie alles funktioniert. Wenn man weiß wie etwas funktioniert, kennt man auch seine Schwachstellen und kann diese ausnutzen.

Im übrigen solltest du dich mal im Wiki (oben auf der Seite zu finden) über die Bedeutung des Wort Hackers informieren.

So sieht's aus.

Und man lernt nichts über Technik, indem man auf bunten Hackertools rumklickt, sondern indem man Programme analysiert, Handbücher/Artikel liest und versucht, für seine Bedürfniss passende Tools selbst zu programmieren.

Gute Magier zeichnen sich nicht dadurch aus, dass sie einen fliegenden Teppich haben, sondern dass sie wissen, wie man einen knüpft.

mfg, metax.

valenterry · 14.01.08, 19:41

Zitat:

Original von metax.

Zitat:

Original von gugugs
Könnte man einen php Upload machen, in dem man einen standard (autom. korrigiert) Wert festlegt, der an die Datei geht, die man haben will?^^

Nein.

Naja, "nein" würde ich nicht unbedingt sagen. Es fällt zwar eher unter die sozialen Techniken, aber es ist möglich, mit einer Mischung aus HTML, Javascript und CSS und mit ein wenig Geschick, eine Art "Spiel" zu programmieren. Man überdeckt dann den "durchsuchen..." Button für den Fileupload mit CSS (geht allerings nicht in allen Browsern), lässt den Nutzer glauben, dass alles ein Spiel ist und ihn in das Inputfeld für den Dateipfad klicken. Sobald er das getan hat, verschiebt man das eigentlichen Inputfeld, macht es unsichtbar, setzt an die gleiche Stelle eine anderes Inputfeld (was zu einem anderen Formular gehört). Dann bewegt man den User mit dem Spiel dazu, bestimmte Tasten zu drücken. Dabei müssen natürlich auch die Tasten für den Pfad der Datei, die man haben möchte vorhanden sein, wobei unerwünschte Tasten mit Javascript abgefangen werden. Da der eigentliche Fokus noch im Dateiuploadinputfeld ist, muss man die gedrückten Tasten mit Javascript auslesen und mit Javascript in das "fake" Inputfeld schreiben. Dort muss man auch den blinkenden Cursor nachahmen. Wenn man es nun schafft, dass der User z.b. "/pfad/zu/datei" eingibt, das Spiel beendet und der User auf den "Ergebnis erfahren" Button klickt, welcher den Dateiupload initiiert und man den Upload noch mit netten animierten Grafiken überbrückt, hat man es geschafft. Man muss natürlich auch prüfen, welches Betriebssystem man vor sich hat, was aber meistens recht leicht ist.

Das ganze Unterfangen ist allerdings nicht überall anwendbar, da z.B. Opera Formulare für den Dateiupload _immer_ in den Vordergrund stellt (da hilft auch CSS mit z-index nix). Ich habe allerdings noch nicht probiert, ob man das nicht mit einem Java Applet oder Flash überlagern kann.

@OP: Hilft dir das als Gedankenanstoß?

metax. · 14.01.08, 19:49

Zitat:

Original von valenterry
Naja, "nein" würde ich nicht unbedingt sagen. Es fällt zwar eher unter die sozialen Techniken, aber es ist möglich, mit einer Mischung aus HTML, Javascript und CSS und mit ein wenig Geschick, eine Art "Spiel" zu programmieren. Man überdeckt dann den "durchsuchen..." Button für den Fileupload mit CSS (geht allerings nicht in allen Browsern), lässt den Nutzer glauben, dass alles ein Spiel ist und ihn in das Inputfeld für den Dateipfad klicken. Sobald er das getan hat, verschiebt man das eigentlichen Inputfeld, macht es unsichtbar, setzt an die gleiche Stelle eine anderes Inputfeld (was zu einem anderen Formular gehört). Dann bewegt man den User mit dem Spiel dazu, bestimmte Tasten zu drücken. Dabei müssen natürlich auch die Tasten für den Pfad der Datei, die man haben möchte vorhanden sein, wobei unerwünschte Tasten mit Javascript abgefangen werden. Da der eigentliche Fokus noch im Dateiuploadinputfeld ist, muss man die gedrückten Tasten mit Javascript auslesen und mit Javascript in das "fake" Inputfeld schreiben. Dort muss man auch den blinkenden Cursor nachahmen. Wenn man es nun schafft, dass der User z.b. "/pfad/zu/datei" eingibt, das Spiel beendet und der User auf den "Ergebnis erfahren" Button klickt, welcher den Dateiupload initiiert und man den Upload noch mit netten animierten Grafiken überbrückt, hat man es geschafft. Man muss natürlich auch prüfen, welches Betriebssystem man vor sich hat, was aber meistens recht leicht ist.

Naja, das wird doch jetzt ziemlich abenteuerlich ;-)
Hast du ein Beispiel für dieses Angriffszenario oder ist das Spekulation?

Jedenfalls ist in HTML ein Default-Value für Datei-Uploads nicht vorgesehen und jeder Browser der es trotzdem macht, gehört auf der Stelle in die Sonne geschossen!

mfg, metax.

gugugs · 14.01.08, 19:51

Also, die Idee ist ja irgendwie ziemlich genial^^ Allerdings ziemlich schwer anzustellen denke ich, dazu kenn ich mich nicht mit JAVA aus.

Anzeige

- Anzeige -

14.01.08, 18:02	#1 (permalink)
gugugs Registriert seit: 25.11.06 Likes: 0	Daten auslesen Anzeige Ihr werdet jetzt womöglich schon wieder denken, o. nein, nicht schon wieder so ein Depp der versucht irgendein Kinderkram zu hacken. Und wenn schon, es interessiert mich einfach mal. Und zwar: kann man per PHP Daten von einem Computer auslesen? Also ich meine, von z.B. so einem Pfad: C:\Users\cR34Ti0n\Desktop. Oder gibt es irgendeinen anderen Weg, Daten von einem PC, der diese Seite gerade aufruft aufzurufen?

14.01.08, 18:52	#5 (permalink)
metax. Registriert seit: 22.01.07 Likes: 10	Pff. Was glaubst du, was los wäre, wenn jeder Webseitenbetreiber nach Belieben auf den Client-Festplatten rumpfuschen könnte? Es gibt meines Erachtens (wenn man Sicherheitslücken ausschließt) nur 3 Möglichkeiten, an lokale Clientdaten ranzukommen (abgesehen, von normalen HTTP-File-Uploads). 1. Du schreibst ein Java-Applet und schaffest, es dieses von offizieller Seite zertifizieren zu lassen, weil dich sonst die Sandbox nicht an das lokale Dateisystem heranlässt. http://java.sun.com/j2se/1.4.2/docs/...spec.doc1.html Wenn du kein Java kannst, vergiss es wieder. So schnell geht das nicht. 2. Du versuchst das Ganze mit ActiveX. Da ActiveX allerdings nicht gerade zu den sichersten und vertrauenswürdigsten Techniken zählt (weil eben ActiveX-Komponenten allen möglichen Kram dürfen, den man lieber nicht jedem erlaubt), ist ActiveX meines Wissen mittlerweile im Grunde geächtet und du wirst nicht viele finden, die so einen Quatsch installieren. 3. Du schreibst ein Browserplugin, welches die Dateien ausliest. Scheitert auch vermutlich an dem rudimentären Sicherheitsbewusstsein und der Bequemlichkeit der Besucher. Javascript kommt imho ohne Sicherheitslücken auch nicht sehr weit in's lokale Dateisystem. Mit PHP geht's schon mal garnicht, weil PHP nicht auf dem Client ausgeführt ist, also auch nicht an lokale Strukturen rankommt. Ich würde also sagen, ohne irgendwelche Exploits ist man relativ sicher, falls man sich nicht selbst eine derartige aktive Komponente installiert. mfg, metax. __________________ Wenn keiner zuschaut, teile ich heimlich durch Null! Meine Homepage: Planet Metax \| meine Bilder: DeviantArt \| Twitter

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Daten aus Tabelle auslesen	hirsl	(Web-) Design und webbasierte Sprachen	13	20.09.10 22:10
Auslesen persönlicher Daten durch PHP script?	Don Holiday	(In)security allgemein	4	03.07.07 16:37
Daten nach einem HTTP-Login auslesen	minzel	Code Kitchen	1	20.11.05 16:34
VB Daten auslesen, speichern, verschiken	dabind	Code Kitchen	2	27.04.05 17:29
Daten aus Inetsite auslesen???	Jadawin	Code Kitchen	4	16.02.04 16:03

14.01.08, 18:13	#3 (permalink)
rusty-spoon Registriert seit: 25.03.07 Likes: 0	PHP wird Serverseitig ausgeführt, d.h. das Script wird erst auf dem Server abgearbeitet und dann dem Client als Fertiges Ergebniss Präsentiert. Also wird PHP schonmal wegfallen. Man kann aber zB den Inhalt der eigenen Dateien per URL (zB file://c/ ) in einem iFrame einbinden. Ich kann mir auch vorstellen dass man den Ordnerinhalt per Javascript einlesen kann und dann zB die Dateinamen im Verzeichniss an ein anderes Script schickt dass diese Speichert. (Falls ich mich irre bitte berichtigt mich) Möglich wäre dass ganze aber nur wenn im entsprechenden Browser Javascript auch aktiviert ist

14.01.08, 18:30	#4 (permalink)
gugugs Themenstarter Registriert seit: 25.11.06 Likes: 0	Hm, okay. Ich kann schon etwas PHP. Würde es schwer sein nur diesen Befehl mit Java das man Datein von PCs auslesen kann zu lernen? Oder müsste ich jetzt eher, die ganze Programmiersprache Java lernen? So ne Art Crashcourse?^^ Denn ich hab eig. nicht unbedingt vor jetzt die ganze Sprach zu lernen^^ Gibt es ein Möglichkeit?

14.01.08, 19:12	#6 (permalink)
gugugs Themenstarter Registriert seit: 25.11.06 Likes: 0	Oukay, hab ich mir auch schon gedacht. Wär ja schon ziemlich heftig wenn das gehen würde. Könnte man einen php Upload machen, in dem man einen standart Wert festlegt, der an die Datei geht, die man haben will?^^ Wenn nicht, wie kommen denn überhaupt gewisse Hacker an die Dateien? Ich denke man, die Datei in denen die ICQ Passwörter sind, wird wohl nicht allzu schwer zu finden sein. Doch wie schafft man sich diese bei?

14.01.08, 19:31	#10 (permalink)
gugugs Themenstarter Registriert seit: 25.11.06 Likes: 0	Wenn wir schon bei dem Thema sind...^^ Wie haben richtige Hacker die es auch gut können, das hacken gelernt? Irgendwie müssen sie ja auch klein angefangen haben, und mit trojanern erst mal um sich geschmissen haben, um auszuprobieren und zu hoffen, was klappt und was nicht. WO ist der Ansatz? Jeder sagt nur z.b. ICQ Hacking ist Kinderquatsch. Nicht unbedingt falsch, aber wie haben denn so manche proffessionellen Hacker das hacken gelernt? Wie gesagt, wo ist der Ansatz?

14.01.08, 19:34	#11 (permalink)
BigDevil Registriert seit: 25.07.07 Likes: 0	In dem man lernt wie alles funktioniert. Wenn man weiß wie etwas funktioniert, kennt man auch seine Schwachstellen und kann diese ausnutzen. Im übrigen solltest du dich mal im Wiki (oben auf der Seite zu finden) über die Bedeutung des Wort Hackers informieren.

14.01.08, 19:51	#15 (permalink)
gugugs Themenstarter Registriert seit: 25.11.06 Likes: 0	Also, die Idee ist ja irgendwie ziemlich genial^^ Allerdings ziemlich schwer anzustellen denke ich, dazu kenn ich mich nicht mit JAVA aus.

[HaBo]

Daten auslesen