[gelöst]Hackme (Website)

[BunnX]

Hallo an Alle,

habe eben zum Zeitvertreib ein kleines Hackme erstellt. Ziel ist es in den geschützen Bereich zu gelangen indem ein Code zu sehen ist.

Die Aufgabe gilt als gelöst wenn man den richtigen Code kennt.

http://hackme.bunnxchat.de/


Obwohl ich denke, dass ich die Sicherheitslücke auf das Hackme begrenzt habe (nach meinem Wissen), bitte ich euch nicht außerhalb des Hackmes zu fungieren. Weil da hängt auch mein echtes Projekt dran.

Viel Spaß.

 

[Nerdworld]

Ich hab mal ne kleine Theorie, bei der ich mir aber noch nicht sicher bin.

Spoiler: Theorie

Die Galerie ist die einzige Seite, die mit einem Include geladen wird, und die Error-Messages werden nicht abgefangen oder gefiltert. Allerdings wird das .php hinter dem GET-Parameter ignoriert, und der Ordner "secure" lässt sich so nicht laden. Wahrscheinlich müsste man noch ein bisschen dran rumexperimentieren - dass es was mit dem (nicht funktionierendem Gästebuch zu tun hat, ist auch nicht auszuschließen.

 

[BunnX]

Ein Teil der Theorie ist richtig, ein Teil ist ne Interpretationsfrage und zum Rest kann ich nix sagen.

 

[Nerdworld]

Interessant find ich auch den Titel der Seite:
XTML 1.0 Transitional

Das ist weder XHTML nocht Transitional.

 

[BunnX]

Ja das war ein Freetemplate... da hab ich schnell den Beispieltext rausgehaun und eher funktionalen als stylistisch korrekten Code reingewürfelt. Hab sogar den öffnenden html Tag ausversehen gelöscht.

Wenn sich die Sache ner gewissen Beliebtheit erfreut, rutsch ich nochmal mit SEO Methoden drüber...

 

[Nerdworld]

Hab jetzt nochmal was versucht, aber das einzige, was ich erreiche, ist...

Spoiler: Spooooooiler!

... die CSS File mti dem Include zu laden - irgendwie scheint sich alles in anderen Ordnern zu finden, und da man blind ist, ist es schwer zu sagen, welche Dateinamen relevant sind.
http://hackme.bunnxchat.de/index.php?include=1.css

 

[BunnX]

Spoiler: Ne

Du kannst alle Ordner sehen die du benötigst.

Habe mir mal die URIs in den Logs angesehen. Mir liegen Tipps auf der Zunge weil es immer mal arschknapp war. Jemand hatte sogar schon die Lösung und das MEHRMALS doch es fehlte ein winziger Schritt den man Local machen muss.

Naja ich sag nix
MfG John the ripper

 

[mime]

Die Aufgabe gilt als gelöst wenn man den richtigen Code kennt.
http://hackme.bunnxchat.de/

Mann könnte natürlich auch den Usernamen aus der .htpasswd auslesen (peter) und müsste dann "nur" noch das PW per Brute-Force versuchen zu knacken...

Es war dann aber doch einfacher...

Spoiler: show

http://hackme.bunnxchat.de/index.php?include=secure/index..phpphp

524d650b50

Micha

 

[beavisbee]

half done:

Spoiler: here comes the solution

Schritt 1 war ja einfach...
http://hackme.bunnxchat.de/index.php?include=secure/.htaccess
http://hackme.bunnxchat.de/index.php?include=secure/.htpasswd

peter:hNKWmD3a0jz2I

jetzt müsste nur noch "hNKWmD3a0jz2I" gebruteforced werden...

edit:
okay, mime hat die bessere Hintertür verwendet...

 

[BunnX]

Gut aber ich belass es mal bei helf done weil:

Spoiler: deswegen

John the Ripper braucht ohne Wordlist ~13 Sekunden.

@mime

Spoiler: lösung

Wie geht das? oO
Weil der String doppelt im GET-Wert vorkommt reicht ne 1-fach Filterung nicht aus wenn man die Reihenfolge beachtet oder wie? Genial.. wär ich niemals draufgekommen. Merk ich mir.

 

[mime]

@mime

Spoiler: lösung

Wie geht das? oO
Durch das Doppelinclude und weil der String doppelt im GET-Wert vorkommt reicht ne 1-fach Filterung nicht aus oder wie? Genail.. wär ich niemals draufgekommen.

Spoiler: Nun ja...

Du machst (vermutlich) irgendwas in der Art in deinem Script.

$file = str_replace(".php","",$file);

Wenn du von "index..phpphp" jetzt ".php" entfernst, was bleibt übrig? Ganz genau, ".php". Das nun unter "secure" tatsächlich eine index.php existiert konnte man zwar erahnen, aber das war dann doch Glück.

Micha

 

[Nerdworld]

Da war ich echt nah dran, und die Idee mit dem doppeltem .php, da hab ich drauf rumgekaut - wirklich ne seeehr elegante Lösung.

 

[beavisbee]

Gut aber ich belass es mal bei helf done weil:

Spoiler: deswegen

John the Ripper braucht ohne Wordlist ~13 Sekunden.

dann eben

Spoiler: Krümelmonster lässt grüßen

peter:keks1

 

[BunnX]

Spoiler: Nun ja...

Du machst (vermutlich) irgendwas in der Art in deinem Script.

PHP-Code:

$file = str_replace(".php","",$file);
​

Wenn du von "index..phpphp" jetzt ".php" entfernst, was bleibt übrig? Ganz genau, ".php". Das nun unter "secure" tatsächlich eine index.php existiert konnte man zwar erahnen, aber das war dann doch Glück.

Spoiler: ok

Ok ne äußerst Sinnvolle Lektion, heißt man muss die Reihenfolge der Filterregeln beachten. Werde ich beim scripten demnächst drauf achten. Im Hackme lass ich es drin, weil es ja auch eine gute Lösung ist.
Aber...
habe ja den Server Root-pfad unterdrückt indem ich "home" ersetze das man nicht in alle Ordner kommt sondern nur ins Crackme + Unterordner...

d.h.:
index.php?include=/ho.phpme/www/web104/html/lina/secure/.htpasswd

würde dennoch funktionieren, wenn man "home" vor ".php" ersetzt. Mach ich zwar nicht, aber so schnell kanns gehen.

Und deswegen ist das Crackme überhaupt sicher im Bezug auf mein Hauptprojekt?

Edit: /index.php?include=.http:.php./c wird zu ../c Daher unsicher.

Sry mime deine Lösung ist nicht mehr gültig weil ich damit meine richtige Websit gefährde. Siehe Spoiler.

 

[BunnX]

dann eben

Spoiler: [B]Krümelmonster lässt grüßen[/B]

peter:keks1

Ok gelöst

Wie kann ich den Status setzen? Wenn ich das überhaupt kann. Naja ich finds schon.

mfg

 

[mime]

Ok ne äußerst Sinnvolle Lektion, heißt man muss die Reihenfolge der Filterregeln beachten. Werde ich beim scripten demnächst drauf achten.

Du solltest in Zukunft nach Möglichkeit darauf verzichten, Userinput direkt in einem include() zu benutzen. Besser ist da sowas:

<?php

$file = $_GET['include'];

switch($file) {

  case "gallery":
  include("gallery.php");
  break;

  case "guestbook":
  include("guestbook.php");
  break;

  default:
  include("main.php");
  break;

}  

?>

Hier ein sehr einfaches Tutorial...

http://www.web-tuts.de/advanced-local-und-remote-file-inclusion.html

Micha

 

[BunnX]

Danke. Aber ich include nie Usereingaben direkt, das war nur im zuge des Hackme. Bloß ging darum da das Hackme in einem Unterordner zu meinem Forum liegt, dass man nicht eine Ebene drunter zugreifen kann. Also die Sicherheitslücke auf das Hackme begrenzen.

Ich bin eben da bei ein 2.Level zu coden. Aber diesmal werde ich die Lücke vollständig simullieren (also Debugmeldungen, ...) weil die "Level 2" - Sicherheitslücke lasse ich nicht auf meinem Webhoster zu.