huib - image exploit

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Senior DevOps-ontwikkelaar eIDAS

Functie­omschrijving Burgers en bedrijven veilig en betrouwbaar digitaal toegang geven tot diensten en producten van het ministerie van Economische Zaken en Klimaat. Als senior DevOps-ontwikkelaar bouw je daar letterlijk aan mee. En dat doe je bij DICTU: een van de grootste en meest vooruitstrevende ICT-dienstverleners van de Rijksoverheid. Jij werkt mee aan de doorontwikkeling van eIDAS, dat staat voor Electronic IDentification Authentication and trust Services. Deze koppeling maakt de grensoverschrijdende authenticatie op overheidswebsites binnen de Europese Unie mogelijk. Het ministerie van Economische Zaken en Klimaat heeft één moderne toegangspoort voor zijn diensten en inspecties. Enkele daarvan zijn dankzij eIDAS inmiddels

Bekijk vacature »

Katjan

katjan

02/12/2006 23:05:00
Quote Anchor link
hallo allemaal,
ik was net even aan het kloten, en ik ben ergens achter gekomen, wat veel van jullie misschien wel interessant/schokkend vinden..

veel mensen denken dat checken van een plaatje met headers en/of een functie uit de gd library..
dit is niet correct, het is nog steeds mogelijk php in een plaatje te zetten, terwijl het WEL een geldig plaatje is!

maak met the gimp een klein gifje, met als commentaar
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
<?php phpinfo(); ?>

als je dit bestand als gif opslaat, en je vraagt het op van een server, zal je gewoon een plaatje zien..
hernoem je het nu naar php, dan zie je eerst een hoop code, en daarna de php info!

*getest op wampp5*

edit: of het enigzins nut heeft weet ik niet.. nog geen situatie kunnen bedenken..;) maar toch..
vond het wel grappig, dus wou het even delen..
Gewijzigd op 01/01/1970 01:00:00 door Katjan
 
PHP hulp

PHP hulp

21/10/2020 04:08:44
 
Jelmer -

Jelmer -

02/12/2006 23:30:00
Quote Anchor link
Okee: welke chmod zou je nodig hebben om Apache de PHP code niet uit te laten voeren. Ik neem aan dat plaatjes niet executable hoeven te zijn, PHP wel? (in CGI-modus wel neem ik aan, maar als PHP als apache extentie draait?) Want als dat het geval is is dat in je uploadscript een manier om het leven weer wat veiliger te maken.

En natuurlijk controleren via mime & extentie :)

Maar bedankt voor het delen, ik wist het nog niet.
 
Marien xD

Marien xD

03/12/2006 00:00:00
Quote Anchor link
Het mime checken en extensie zal die dus volledig doorkomen. Dus als jij zo een plaatje kan uploaden op een website, deze via een exploit kan hernoemen tot .php en hoppa je voert php uit :)
 

03/12/2006 00:48:00
Quote Anchor link
Het kunnen hernoemen naar een .php zou al een te grote fout zijn in een website.

Maar goed de verklaring ontbreekt nog daarom: als je comment in een plaatje opslaat komt dit er gewoon als ASCII in te staan. Parser begint binary als ASCII te lezen en komt op een gegeven moment <?php tegen, parsert deze code en gaat weer verder naar het eventuele volgende code blok.

Het zelfde effect geeft het openen van elk ander binary bestand met kladblok het toevoegen van een paar regels code (maakt niet uit waar) en het opslaan als .php;

Het kan dus ook met b.v. een mp3 bestand
 
Legolas

Legolas

03/12/2006 09:44:00
Quote Anchor link
Dit is geen exploit. De echte exploit in jouw scenario is het naar .php kunnen hernoemen.
 
Jelmer -

Jelmer -

03/12/2006 09:45:00
Quote Anchor link
De kans dat je rename uit kan voeren, dus of er een lek script in zit dat rename draait op user-input, of dat er ergens code via eval wordt uitgevoerd, is vrij klein.
 
Klaasjan Boven

Klaasjan Boven

03/12/2006 12:03:00
Quote Anchor link
Mime en extensie checks doen volgens mij hetzelfde. Tot die schokkende conclusie kwam Jan Koehoorn volgens mij laatst
 
Jeroen

Jeroen

03/12/2006 13:06:00
Quote Anchor link
sittuatie neem phpbb je stopt de code in een gif
je upload de gif als avatar *poof* php info >.<
 
Legolas

Legolas

03/12/2006 13:19:00
Quote Anchor link
@Jeroen: nee, want een avatar is .gif en de server evalueert alleen .php
 
Jeroen

Jeroen

03/12/2006 13:39:00
Quote Anchor link
hmm dat zie je verkeerd want bijv waarom werk http://www.adek.org/c.gif dan als een php file?
 
Legolas

Legolas

03/12/2006 13:55:00
Quote Anchor link
nee, ik zie toch echt geen uitgevoerde php code...
 
Jeroen

Jeroen

03/12/2006 13:57:00
Quote Anchor link
dat komt omdat hij eerst geinclude moet worden ;)
de manier ga ik hier niet uit leggen, want mij script welke de zelfde functie's heeft als deze is al een keer hier verwijderd, en ik heb geen zin in een ban e.d.

EDIT:
zoiezo word het posten van het script al niet gewaardeerd (A)
Gewijzigd op 01/01/1970 01:00:00 door Jeroen
 
Legolas

Legolas

03/12/2006 13:59:00
Quote Anchor link
Ja... als je em include... Maar dat gaat dan met alle bestanden, en dat is GEEN exploit. De exploit is dan het zover krijgen dat ie geinclude wordt...

Fora scripts gebruiken voor dit soort dingen ook met een rede file_get_contents ipv include...
 
Jeroen

Jeroen

03/12/2006 14:00:00
Quote Anchor link
true true,
en de exploit voor deze source is btw ook makelijk te vinden op google>.<

EDIT: 200 posts xDXDXDXD

EDIT2: het leuke aan het script is wel dat je de server kan rooten van de web page :P
Gewijzigd op 01/01/1970 01:00:00 door Jeroen
 
Katjan

katjan

03/12/2006 14:16:00
Quote Anchor link
Het kan dus ook met b.v. een mp3 bestand

niet mee eens, het leuke met plaatjes is dat je een geldig plaatje terugkrijgt, die dus door alle php functies hiervoor zal komen..
verder: er zijn mij een paar gevallen bekend dat mensen images includen, als je ingelogd bent.. en waar dit een exploit voor zou zijn..

voorbeeld: img.php, als je ingelogd bent include ie een plaatje, maar alleen als dat plaatje extensie gif of jpg heeft, en door imgresize komt..
dat komt dit plaatje, want hij is gewoon geldig..
daar doelde ik op
 
Legolas

Legolas

03/12/2006 14:42:00
Quote Anchor link
Dat soort scripts behoren readfile of file_get_contents of wat dan ook te gebruiken. Zodra daar include wordt gebruikt is dat de fout, niet dat hij het plaatje accepteert.
 
Katjan

katjan

04/12/2006 16:08:00
Quote Anchor link
ik heb het woord fout nooit genoemd..
mensen denken, dat alleen plaatjes door resize enz komen..
dat was waar ik op doelde.. een geldig plaatje KAN ook php bevatten.. thats all..

en als je het al wist, das mooi.

wou het gewoon even delen..
moeilijk doen is ook een vak..
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.