Tag Archive for 'hacken'
nachdem heute bereits die hauptseite der GDL opfer eines hacks geworden ist, bin ich einfach mal auf die seite der jugendorganisation gegangen und auf gut glück über die Links gehovert. dabei fiel mir ein link “signal-iduna” unter der rubrik “partner” auf:
http://www.gdl-jugend.de/phpkit/include.php?src=..//signal-iduna/index.htm&PHPKITSID=1577f9f0bede7e677d4f10070f2aaffd
ja, ganz richtig. dieses ding lädt ein iframe mit der url des parameters src!
erstmal damit wikipedia aufgerufen:
http://www.gdl-jugend.de/phpkit/include.php?src=http://de.wikipedia.org
dann is mir eingefallen: vielleicht könnte dieses phpkit ja auch von anderen webseiten benutzt werden?
eine suche mit google förderte tatsächlich was zu tage, unter anderem diesen treffer:
[PDF]
NEWSLETTER
Dateiformat: PDF/Adobe Acrobat - HTML-Version
Katzen. Diese verkauft Sie im Flohmarkt und auf Bestellung: http://www.luna-. hilfe.de/phpkit/include.php?path=forum/showthread.php&threadid=1116 …
www.luna-cat.de/newsletter/nl5-07.pdf - Ähnliche Seiten - Notieren
Also die URL
http://www.luna-hilfe.de/phpkit/include.php?src=http://de.wikipedia.org
aufgerufen, e voila:
ich werde dann mal den admin der GDL-jugend, der katzenseite und die macher von phpkit anschreiben…hoffentlich ist diese lücke bald behoben.
UPDATE:
Javascript scheint auch zu funktionieren:
http://www.gdl-jugend.de/phpkit/include.php?src=javascript:window.alert(parent.document.location);
aus reiner neugier und interesse öffnete ich einfach mal den link aus einer phishing-mail: http://www.truongvekien.info/tdnschool/mrhuysock123/work/cancel.php.
erstmal warnte mich thunderbird:
daraufhin warnte auch firefox - ein beweis, dass open-source-programme oftmals besser sind, outlook 2k3 schlug bei einem kumpel nicht an…
im hintergrund bemerkt man deutlich den 404-fehler…
neugierig gemacht, geht es in den ordner darüber:
[DIR] Parent Directory 08-Aug-2007 17:29 -
[TXT] a.txt 01-Oct-2007 15:29 1k
[DIR] backup/ 07-Aug-2007 18:10 -
[ ] c.php 01-Oct-2007 15:29 1k
[DIR] config/ 06-Aug-2007 16:50 -
[DIR] log/ 04-Aug-2007 16:31 -
[DIR] structure/ 07-Aug-2007 18:10 -
wenn man den dateinamen in der url (”cancel.php”) und die datei “c.php” vergleicht, kommt man schnell auf gedanken…und sie waren richtig, c.php redirected via HTTP REDIRECT auf eine täuschend echte BOA-seite von einem niederländischem hoster:
http://brugopolis.net/joomla/cache/login/BOA/online/online_banking.html?Access_ID=
wenn man das formular abschickt, kommt man auf
http://brugopolis.net/joomla/cache/login/BOA/online/thank_you.htm
von da aus geht es automatisch weiter zur echten BOA.
aus langeweile bin ich dann einfach mal auf die direkte domain der ersten seite gegangen:
http://www.truongvekien.info/
ein teil des dirlist:
[TXT] postinfo.html 03-Aug-2007 16:14 2k
[ ] r57shell.php 22-Sep-2007 15:02 98k
[DIR] tdnschool/ 19-Aug-2007 13:33 -
bis jetzt ist alles einfach so verfügbar gewesen. was jetzt folgt, wird etwas komplex
ich traute meinen augen kaum - r57shell.php ist eine remoteshell geschrieben in php!
erstmal gesehen dass ich als “nobody” ins system komme, also mit den rechten des webservers laufe. aber egal. denn zu einer ausgabe der cancel.php langt es:
$urls = array(”http://li-sky.com/customers/boa/online/online_banking.html?Access_ID=”, “http://www.pardinyes.cat/login/BOA/online/online_banking.html?Access_ID=”, “http://brugopolis.net/joomla/cache/login/BOA/online/online_banking.html?Access_ID=”);
$nr_of_urls=count($urls);
function is_url($url) {
$fp = @fopen($url,”r”);
if ($fp) {
fclose($fp);
return true;
} else {
return false;
}
}
for($i=0;$i<$nr_of_urls;$i++){
if(is_url($urls[$i])){
header(”Location: “.$urls[$i]);
exit;
}
}
?>
dieses skript leitet einfach auf eine URL aus einer liste von 3 urls um.
jedenfalls können bis zu drei location-header im selben HTTP-request gesendet werden - nich gut, aber anscheinend ignorieren die meisten browser so einen mist.
nachdem sowohl auf der vietnamesischen .info als auch auf dem (wohl gehackten) niederländischem webhoster keine weiteren türchen mehr offen sind, endet dieser report hier.
UPDATE: die Shell ist weg
