sabre 0 Posted January 15, 2008 Share Posted January 15, 2008 Ich hatte gerade eben einige interessante Zugriffe auf mein Gästebuch nach folgendem Schema: Click Interessant ist, dass es dabei zu einer Ausgabe kommt. Ich habe gerade nicht den Kopf dazu mir das genauer anzuschauen, aber was haltet ihr davon? Quote Link to post Share on other sites
Powie 1 Posted January 15, 2008 Share Posted January 15, 2008 Danke für die Info. Wie bist du darauf gekommen? Über das Apache Logfile!? Die ID wurde in der kommentar.php nicht gefiltert. Quote Link to post Share on other sites
Guest Posted January 15, 2008 Share Posted January 15, 2008 Interessant ist, dass es dabei zu einer Ausgabe kommt. Ich habe gerade nicht den Kopf dazu mir das genauer anzuschauen, aber was haltet ihr davon? SQL Injection. In diesem Falle nicht weiter tragisch, da die betroffene Tabelle eh nur die Postings enthält. Quote Link to post Share on other sites
sabre 0 Posted January 15, 2008 Author Share Posted January 15, 2008 Original von Powie Danke für die Info. Wie bist du darauf gekommen? Über das Apache Logfile!? Zufall Ein Bot für Bannereinblendungen hat einen 404-Zugriffsfehler verursacht, weil er wohl die Seite crawlen wollte, auf der vorher ein Banner eingeblendet wurde. Ich logge solche Fehlzugriffe weg und lass sie mir regelmäßig per mail schicken... SQL Injection. In diesem Falle nicht weiter tragisch, da die betroffene Tabelle eh nur die Postings enthält. Jain, hab grade einen Blick in die logfiles geworfen, und dabei den Versuch entdeckt auf die usertabelle zuzugreifen. [...]/**/union/**/select/**/1,concat(char(117,115,101,114,110,97,109,101,58),username,char(32,112,119,100,58),pwd),4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/pfuser/* <= hier kommt zwar ein DB-Fehler, aber möglicherweise funktioniert das, wenn man die Spaltenbreite der usertabelle weiß oder wie auch immer. Ich kann hier während der Arbeitszeit nicht mit dem nötigen Synthax auseinandersetzen und so lange rumprobieren bis es möglicherweise funktioniert Glücklicherweise habe ich einen Tabellenprefix eingestellt, der nicht offensichtlich ist Quote Link to post Share on other sites
Powie 1 Posted January 15, 2008 Share Posted January 15, 2008 habs mal probiert, das liefert aber auch wenn man das Prefix kennen würde nichts zurück. Interessant wäre zu wissen auf welches Script die Anfrage ging, anmelden ist damit nicht ,möglich...! Quote Link to post Share on other sites
sabre 0 Posted January 15, 2008 Author Share Posted January 15, 2008 Ich konnts gerade verifizieren, dass mit der Lücke der Hash des admin-users ausgespäht werden könnte. Ich hab den fix mal ganz fix eingebaut Quote Link to post Share on other sites
Powie 1 Posted January 15, 2008 Share Posted January 15, 2008 Mein error_log ist voll davon. Hier wird versucht zum Beispiel auf die /cms/news/activate.php...... zu posten, das File gibts aber garnicht. Auf einer anderen Maschine find ich das auch im Access_loog, hier wird ein Joomla CMS angegriffen, sowie ein wordpress blog. Scheint also Methode dahinter zu sein so nach Lücken zu spähen. Quote Link to post Share on other sites
sabre 0 Posted January 15, 2008 Author Share Posted January 15, 2008 Ja, bei mir ist auch alles voll von solchen Zugriffen, das ist normal. Es ging hier aber explizit um ein pScript ging (bzw. pSys) und auchh erfolgreich gewesen wäre, wenn ich keinen Tabellenprefix eingestellt hätte. Das pSys bzw. die nicht mehr gepflegten pScripte scheinen sich langsam zu einem interessanten Angriffsziel zu entwickeln btw: das obige Beispiel mit username und pwd ist so angepasst, dass es nicht funktionieren kann. Ich wollte nur die Richtung zeigen und keine Anleitung schreiben Quote Link to post Share on other sites
Guest Posted January 15, 2008 Share Posted January 15, 2008 Jain, hab grade einen Blick in die logfiles geworfen, und dabei den Versuch entdeckt auf die usertabelle zuzugreifen. Ok, das ist natürlich auch was anderes, als Du in deinem ersten Post geschrieben hast. Du solltest dein Passwort ändern. <= hier kommt zwar ein DB-Fehler, aber möglicherweise funktioniert das, wenn man die Spaltenbreite der usertabelle weiß oder wie auch immer. Exakt. Ein UNION SELECT muss immer genau so viele Spalten zurückliefern, wie eigentlich Spalten selektiert wurden. Glücklicherweise habe ich einen Tabellenprefix eingestellt, der nicht offensichtlich ist Das stimmt zumindest so lange, wie keines der Skripte SQL-Fehlermeldungen einfach durchreicht. Sicher sein kannst Du diesbezüglich nicht. Scheint also Methode dahinter zu sein so nach Lücken zu spähen. Ja. Rechenzeit ist so günstig, dass es effizienter ist, direkt den Exploit zu testen, als lange mit der Suche nach betroffenen Applikationen zuzubringen. Typisch sind auch NIMDAs oder Code Red (II), die Apache angreifen - obwohl beide nur mit dem IIS funktionieren. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.