Ilegaler Zutritt zum FTP über Datei-Upload-Funktion

[msycho]

Hallo!

Ich habe ein generelles Anliegen. Ich weiß nicht wie es z.B. hier ist und ob Ihr das CMS PHPKIT kennt, aber eigentlich müsste das überall gehen.
Über die Upload-Funktion im Forum wurde bei mir eine Datei hochgeladen. Eine als rar-verkleidete php-Datei.
Ruft man die Datei über den Pfad und Dateinamen auf, so kann man sich auf dem FTP austoben und tun und lassen was man will. Das ist wie als wenn man sich z.B. über FileZilla auf dem FTP eingeloggt hat.
Das Script möchte ich nicht online stellen, nicht dass es in die falschen Hände gerät.

Nun, gibt es da irgendeine Möglichkeit, dass man diesem illegalen Zutritt vorbeugt?

 

[Flex]

Die Frage ist, wieso wird eine .rar Datei als php Datei überhaupt ausgeführt?
Normalerweise sollte sie der Parser überhaupt gar nicht erst anfassen!

 

[msycho]

Ich versteh das auch nicht.

Wenn man halt das Verzeichnis und den Dateinamen kennt indem die Datei liegt, kann man die Datei abrufen und man hat freien Zutritt zum FTP.

Den Dateinamen zu ändern bringt auch nichts, denn der wird ja angezeigt.

 

[Flex]

Könntest du mir das Script mal per PM schicken? Ich würde das gerne mal bei mir durchtesten / angucken.

 

[msycho]

Ich habe [Flex] die Datei zukommen lassen.
Seiner Meinung nach, ist irgendwo eine Lücke im CMS. Denn die rar-Datei darf nicht geparsed werden, was sie aber wird, sondern muss als file/octet-stream (Download) gehandhabt werden wenn man sie aufruft.
Auf interne includes seitens des Kit bin ich in der access.log nicht gestoßen.

Noch Ideen?


PS: Danke für Deine bisherige Hilfe, [Flex].

 

[msycho]

Also ich komme nicht weiter. Irgendwo muss die Lücke im CMS liegen. Denn sonst würde die rar-Datei doch nicht geparsed, oder?

Hat wer ein Anhaltspunkt wie man die Suche erleichtern könnte, bzw. das die Lücke eingrenzen könnte?
Wie würdet Ihr an so ein Problem rangehen?

 

[Dr Dau]

Hallo!

Welche Dateiendungen von PHP geparst werden sollen, kann man entweder in der httpd.conf oder in einer .htaccess einstellen
Ich kann mir jedoch nicht vorstellen dass das CMS Zugriff auf die httpd.conf hat.
Einen Zugriff auf eine .htaccess kann ich mir schon eher vorstellen (z.b. für einen Passwortschutz oder einer RewriteRule etc.).
Daher würde ich mal kontrollieren ob es eine .htaccess gibt und ob es dort etwas wie dieses gibt:

AddType application/x-httpd-php .rar

Ich würde auch mal gucken ob es eine neuere Version von dem CMS gibt..... evtl. ist der Fehler ja bekannt/behoben.

Gruss Dr Dau

 

[-GS-Master]

jetzt hab ich mal ne Frage und zwar würd ich gerne wissen ob dies nur bei dir der Fall ist -.-
Bzw. ob es an PHP-KIT der Fall ist, denn ich besitze auch Upload-Scripts und würde dies gerne wissen/herausfinden was ohne handfesten Code ja nicht möglich ist ...

Finde es jedoch seltsam, dass dies dein Server nicht als Download festlegt, denn sogar bei kostenlosen Anbietern ist das der Fall

Wie ich auf jeden Fall an soetwas rangehen würde wäre dieses Script auf meinen beiden anderen Servern noch zu Testen -.-

 

[Dr Dau]

Wie ich auf jeden Fall an soetwas rangehen würde wäre dieses Script auf meinen beiden anderen Servern noch zu Testen -.-

Könnte man..... aber ob es auch was bringt, ist eine andere Sache.
Schliesslich muss man Sicherheitslücken erstmal kennen um sie ausprobieren zu können.

Wenn der Zeitpunkt bekannt ist, könnte evtl. auch ein Blick in die Logfiles nicht schaden.
Bei mir z.b. hat letzten Monat jemand explizit nach einer bestimmten Version von Horde gesucht..... und danach nach den gängigen Standardverzeichnissen.
Nur blöd dass ich 1. einen .htaccess Verzeichnisschutz habe und 2. Horde garnicht installiert habe.

 

[Flex]

Hatte ich ebenfalls gedacht, dass in PHP Kit eine Datei includet wird mit vollkommen relativen Pfadangaben oder sonstiges, aber laut msycho sind nur direkte Zugriffe auf die .rar gelistet.