Code in GIF Dateien

[Cylence]

Hallo,

diese Frage interessiert mich schon sehr lange, und hoffe, dass jemand von euch mir helfen kann.

Ich versuche seit einiger Zeit einen php Code in einer Bilddatei auszuführen, allerdings vergeblich. Weder per command line, post / Get oder Header data war mir dies bis jetzt möglich.

Nach langer suche, habe ich gehört, dass man das nur mit manipulierten Bilddateien machen kann (einfach von 123.php umbenennen in 123.gif is also nicht ?)

Wäre sehr dankbar wenn sich jemand kurz für mich Zeit nimmt.


gruss
Cylence

 

[xsheep]

Du könntest es mit einer HTACCESS-Direktive bewerkstelligen (klick)

 

[Cylence]

Danke für deine Antwort, aber ich hätte dazu schreiben sollen, dass ich kein .htaccess Zugriff habe

 

[xsheep]

Wofür brauchst du es eigentlich?

 

[LX]

Server-Hijacking?

Wieso sonst sollte man sowas vorhaben, ohne Zugriff auf die dienste des Webservers zu haben...

 

[Cylence]

Wieso Server hijacking ?

Ich Frage nur, weil ich ein upload script hatte, bei dem mir jemand gesagt hat, dass es nur ungenügend auf die Gültigkeit von Bilddateien prüft und ein Hacker problemlos ne shell in einer Bilddatei uploaden könnte. Er wollte mir allerdings nicht verraten wie. Ich möchte das Gegenteil beweisen.


Edit: Habs hinbekommen 8)

 

[SkiN-X]

hey, höhrt sich sehr interessant an, könntest du erläutern wie du es gemacht hast?

Danke

mfg

 

[Chakky]

Original von Cylence
Wieso Server hijacking ?

Ich Frage nur, weil ich ein upload script hatte, bei dem mir jemand gesagt hat, dass es nur ungenügend auf die Gültigkeit von Bilddateien prüft und ein Hacker problemlos ne shell in einer Bilddatei uploaden könnte. Er wollte mir allerdings nicht verraten wie. Ich möchte das Gegenteil beweisen.


Edit: Habs hinbekommen 8)

ok evtl ne öffentliche lösung wäre ja doll,
weil erst aufmerksam machen und dann net sagen wie

ja ich weis admins man kann damit auch mist anstellen aber ich finde das immer nur bescheiden wenn nie eine lösung zu einen problem genannt wird

 

[>)RD(<]

Der Webserver z.b. Apache uebergibt im Normalfall keine Bilddateien (außer er wird dazu per htaccess oder einer Einstellung in der httpd.conf gezwungen) an den PHP-Parser. (warum sollte er auch??).

Deshalb ist es auch egal, wenn jem. PHP-Code in einer Bilddatei versteck und diese irgendwo hochlädt.

Mann koennte die Datei natuerlich mittels include oder require in ein Script einbinden, dann wuerde der Code ausgefuehrt werden.

mfg

 

[dany-nn-c]

Anders sieht es da mit Javascript in Bildern aus. Da ist es ein Leichtes, Cookies zu stehlen!