Ilegaler Zutritt zum FTP über Datei-Upload-Funktion

[Sven Mintel]

Gegen das includen hilft doch der Hack schon Abhilfe, oder?

Würd ich nicht sagen, ich wüsst zumindest nicht, wie er dagegen helfen sollte, da er nicht das includen von Dateien aus content/download/ unterbindet.

Die Endung der Dateien spielt übrigens keine Rolle, wenn ich ein PHP-Skript in blubb.gif umbenenne, und dieses blubb.gif include....wird der enthaltene PHP-Code immer noch umgesetzt.

Ich finds mehr als fahrlässig, soetwas überhaupt zum Download anzubieten

 

[msycho]

Also siehst du auch keine Möglichkeit die Lücke zu schließen?

 

[Dr Dau]

Stylisch -.- Jetzt wäre mir noch ein rätzel was du/ihr macht, wenn der einfach eine PHP-Datei hochladen würde ^^

Oder kannst du diese nicht hochladen lassen

Ähm.....

Über die Upload-Funktion im Forum wurde bei mir eine Datei hochgeladen. Eine als rar-verkleidete php-Datei.

Alles klar?!

Es ist weniger interessant warum man ein als RAR verkleidetes Script hochladen kann, sondern warum es möglich ist das Script dann von PHP parsen zu lassen.
Über die Konfiguration von Apache ist es kein Problem..... weil hier nur die Dateiendung ausschlaggebend ist..... und da kann man angeben was man will (selbst eine *.exe..... kommt auf einem Linux-Server gut ).
Dass das CMS nicht schon beim Upload meckert, zeigt eigentlich dass lediglich auf die Dateiendung geprüft wird..... nicht aber auf den Mime Type.

Wenn ich meinen Server nicht grad anderweitig "missbrauchen" würde (andere HDD eingebaut auf der eine Entwicklerumgebung installiert ist, um irgendwie meine Webcam zum laufen zu bekommen) würde ich mir das CMS ja auch mal anschauen.

 

[Sven Mintel]

Also siehst du auch keine Möglichkeit die Lücke zu schließen?

Warum nicht, ich hab die Lösung doch gepostet

if(isset($_REQUEST['path']) && preg_match('|/download/|',$_REQUEST['path']))die('pöhser pup');

...das, am Anfang der include.php platziert, bricht alles ab, wenn in dem übergebenen Pfad auf das Download-Verzeichnis zugegriffen werden soll.

Inwieweit andere Skripts dieses CMS auch noch anfällig sind, hab ich noch nicht geprüft :-(

 

[msycho]

Laut Deinem Codeschnipsel kann man also Downloads nicht mehr direkt downloaden, oder?

Zurück zum eingentlichen Thema: Wenn ich das jetzt für den Forumupload einbaue, also

if(isset($_REQUEST['path']) && preg_match('|/misc/uploads/forum/|',$_REQUEST['path']))die('pöhser pup');

dann kann man doch das hochgeladenen nicht aufrufen, oder?

 

[Sven Mintel]

Man kann es nicht mehr in die include.php includen, wenn du es dort einbaust.

Der ganz normale Aufruf über das Downloadverzeichnis ist weiter möglich, ist auch nicht gefährlich, da die Datei dann ja nicht per PHP verarbeitet wird.

 

[msycho]

Man kann es nicht mehr in die include.php includen, wenn du es dort einbaust.

Dann bringt das ja auch nichts. Denn die Verlinkund des Uploads findet über den direkten Pfad statt, also nix über include.php. Sprich man kann es garnicht kontrollieren, oder?

 

[Sven Mintel]

Warum bringt das nichts?
Du willst schliesslich nicht den Download unterbinden, sondern das Parsen per PHP, und das erfolgt bspw. durch die include.php

Was passiert denn, wenn du die Datei normal downloaden willst, ....du lädts sie herunter.
Die Schwachstelle ist nicht der Download, sondern der Upload...danach befindet sich die Datei auf dem Server, und kann über die URL includet werden.

 

[msycho]

Ja, aber die Uploadscript ist so, dass es die Datei in ein bestimmtes Verzeichnis hochlädt: misc/uploads/forum.Ist die Datei hochgeladen, wird angezeigt wie man den Upload verlinkt, und zwar so: URL/misc/uploads/forum/datei.endung. Und da ist nichts mit einer include.php. Verstehst Du mich jetzt?

 

[-GS-Master]

Lol -.- ich glaube hier reden dann bestimmte Leute aneinander vorbei
Ich war der festen Überzeugung wir wären bei PHP-KIT und dort im Download-Verzeichnis ...