PHP Magazin 6.10 - Security Workshop "File Inclusion"

Links zum Artikel:

1. Justin Klein Keane ("Mad Irish"): Bypassing PHP PathInfo

Weiterführende Links:

• About Security #177: Schwachstellen-Suche: Directory-Traversal
• About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
• About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
• About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
• About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
• About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
• About Security #183: Schwachstellen-Suche: Remote File Inclusion

Anleitung zum Security-Workshop

Praktische Beispiele

Unter http://it-republik.de/php/php-magazin-ausgaben/ finden Sie ein VMware-Image mit einer vorbereiteten Debian-Installation, die Sie für eigene Experimente verwenden können. Installiert ist nur der Webserver, keine grafische Oberfläche! Regelmäßige Leser des PHP User und PHP Magazins kennen dieses Image bereits: Es kam bereits mehrmals für Demonstration zum Einsatz, z.B. von ModSecurity und PHPIDS, die immer noch installiert, allerdings deaktiviert sind.

Das Image aus Heft 5.10 aktualisieren

Sie können auch das Image von der Heft-CD des PHP Magazin 5.10 aktualisieren. Die nötigen Dateien, die Sie ebenso natürlich auch auf einem eigenen lokalen Server installieren können, finden Sie auf der Heft-CD sowie unter http://www.ceilers-it.de/phpmag/610.tar. Für die Aktualisierung des Images gehen Sie folgendermaßen vor:

• Loggen Sie sich als Benutzer root mit dem Passwort root ein
• Wechseln Sie in das Verzeichnis /var/www
• Verschieben Sie die vorhandenen Verzeichnisse phpmag und phpmag-sicher sowie die Datei index.html in ein neu angelegtes Unterverzeichnis oder löschen Sie sie
• Holen Sie mit
  wget www.ceilers-it.de/phpmag/610.tar
  das Archiv mit den aktuellen Demo-Skripten
• Entpacken Sie das Archiv mit dem Befehl
  tar xf 610.tar
• Verschieben Sie den Inhalt des neue angelegten Verzeichnisses PHPMag6-10 nach /var/www:
  mv PHPMag6-10/* .

Damit ist die Installation abgeschlossen. Nun müssen Sie noch die Konfiguration anpassen. Wechseln Sie dazu in das Verzeichnis /etc/php5/apache2 und ändern Sie in der Datei php.ini das "off" hinter den Optionen register_globals, allow_url_fopen und allow_url_include auf "on".

Die Linux-Installation

Es gibt 2 Benutzer: root mit dem Passwort root und testuser mit dem Passwort testuser. Sämtliche Einstellungen wurden unverändert übernommen, d.h.: Das System ist in keiner Weise besonders abgesichert.

Für MySQL wurden ebenfalls 2 Benutzer angelegt: root mit dem Passwort root und phpuser mit dem Passwort phpuser.

phpMyAdmin finden Sie unter /phpmyadmin.

Die IP-Adresse wurde fest auf 192.168.68.132 eingestellt.

Die Demos

Die Skripte liefern in zwei Fällen einen MySQL-Fehler: Beim Registrieren eines neuen Benutzers und beim Anlegen eines neuen Autors. Der Einfachheit Halber erfolgt dabei im Skript zur Zeit keine Prüfung, ob der gewünschte Benutzername bereits existiert. Da der eindeutig sein muss, wird der Versuch, einen neuen Eintrag mit bereits vorhandenem Benutzernamen anzulegen, mit der Fehlermeldung
MySQL-Fehler: 1062: Duplicate entry 'Benutzername' for key 'Benutzer_Name'
quittiert. In dem Fall verwenden Sie einfach einen anderen Benutzernamen, sofern sie wirklich mehrere zusätzliche Benutzer anlegen möchten.

Sämtliche Demos können über die Startseite des Webservers aufgerufen werden, die auch eine Anleitung enthält. Sie können die Angriffe direkt vom VMware-Image aus durchführen.

Sie finden alle Skripte einschließlich der Angriffe wie oben bereits erwähnt auch als TAR-Archiv direkt auf der Heft-CD sowie unter http://www.ceilers-it.de/phpmag/610.tar. Im Archiv befindet sich auch eine Anleitung, praktischerweise in der Datei index.html, von der aus Sie dann auch die Angriffe aufrufen können.

Wenn Sie die Skripte auf ihrem eigenen Server testen möchten, müssen Sie den dafür äußerst unsicher konfigurieren. Auf so einen Server sollte besser nicht aus dem Internet zugegriffen werden können.