Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicherheitslücke im PHP-Code

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    Sicherheitslücke im PHP-Code

    Herzliches Hallo. Könnte mir bitte einer helfen diese Aufgabe zu lösen?
    Die Aufgabenstellung lautet: Finde eine Schwachstelle auf der Webseite,
    um den Inhalt der Datei /home/ctf/flag auszulesen.

    Hier der Code der index.php
    PHP-Code:
    <!DOCTYPE HTML>
    <!--     saved from url=(0062)http://machines.capturetheflag.cir:4004/index.php -->
    <!DOCTYPE html PUBLIC "" ""><HTML><HEAD><META content="IE=11.0000"
    http-equiv="X-UA-Compatible">
       <    LINK href="CTF-Dateien/bootstrap.css" rel="stylesheet">  
    <    META http-equiv="Content-Type"
    content="text/html; charset=utf-8"><TITLE>CTF</TITLE>
    <    META name="GENERATOR" content="MSHTML 11.00.10570.1001"></HEAD>
    <    BODY><NAV class="navbar navbar-expand-lg navbar-light bg-light"><class="navbar-brand"
    href="http://machines.capturetheflag.cir:4004/index.php?page=pricing#">CTF</A>  
    <    BUTTON class="navbar-toggler" aria-expanded="false" aria-controls="navbarNavDropdown"
    aria-label="Toggle navigation" type="button" data-target="#navbarNavDropdown"
    data-toggle="collapse"><SPAN class="navbar-toggler-icon"></SPAN>   </BUTTON>  
    <    DIV class="collapse navbar-collapse" id="navbarNavDropdown">
    <    UL class="navbar-nav">
      <    LI class="nav-item"><class="nav-link" href="http://machines.capturetheflag.cir:4004/index.php?page=home">Home</A></LI>
      <    LI class="nav-item"><class="nav-link" href="http://machines.capturetheflag.cir:4004/index.php?page=features">Features</A></LI>
      <    LI class="nav-item active"><class="nav-link" href="http://machines.capturetheflag.cir:4004/index.php?page=pricing">Pricing</A></LI></UL></DIV></NAV>
    <    DIV style="margin: 10px;">
    <    H2>Pricing</H2>Please contact us for pricing information. </DIV></BODY></HTML
    Stichworte: -
  • #2
    Zuletzt geändert von hausl; 29.04.2019, 08:59.
    "Helfen" ohne zu viel zu verraten, weil du es ja lösen sollst. Schwer.. ev. mit Stichwörter "Fehlendes Whitelisting im Front Controller Pattern"

    Und jetzt DU.
    The string "()()" is not palindrom but the String "())(" is.

    Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
    PHP.de Wissenssammlung | Kein Support per PN

    Kommentar

    • #3
      Warum sollen wir deine Hausaufgaben machen? Du zeigst ja nicht mal, dass du schon selbst was probiert hättest.
      [I]You know, my wife sometimes looks at me strangely. „Duncan“, she says, „there's more to life than Solaris“. Frankly, it's like she speaks another language. I mean, the words make sense individually, but put them together and it's complete nonsense.[/I]

      Kommentar

      • #4
        Man kann zumindest auf Anhieb schonmal ungültiges HTML erkennen...
        Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

        Kommentar

        • #5
          Müsst Ihr nicht. Ist auch keine Hausaufgabe. Ich entdecke nur mein Interesse für IT-Sicherheit und auf ein Spiel gestoßen wo man Sicherheitslücken finden bzw. entdecken soll. Ich selber habe noch nie mit PHP programmiert. Ich verstehe zwar, dass hier mit einer GET-Methode gearbeitet wird und dieses irgendwo in der index.php deklariert ist. Aber weiter habe ich keine Ahnung. Jetzt kann ich entweder PHP-lernen, was mir aber nichts bringt, weil ich beruflich damit gar nichts zu tun habe oder ich dachte ich frage in einem Forum die Fachleute. Der Hintergrund der Frage basiert nur auf einem Interesse. Ich selber bin 52Jahr alt. Schule besuchen und mich zum Hacker ausbilden lassen werde ich bestimmt nicht mehr.

          Kommentar

          • #6
            Ich entdecke nur mein Interesse für IT-Sicherheit und auf ein Spiel gestoßen wo man Sicherheitslücken finden bzw. entdecken soll.
            Jetzt kann ich entweder PHP-lernen, was mir aber nichts bringt, weil ich beruflich damit gar nichts zu tun habe
            Dann such dir ein Spiel, das eine Sprache verwendet, die du kannst.

            Kommentar

            • #7
              Ok, sorry. Ich habe nicht gewusst, dass es so viel Aufwand ist für Fachleute dieses zu beantworten.

              Kommentar

              • #8
                Wenn du selber nichts zur Lösung beiträgst sieht das halt aus wie "macht ihr das mal für mich". Hier waren aber auch schon Leute die das in deinem Alter als Hobby entdeckt haben, also lohnt sich, auch wenn man damit kein Geld verdienen möchte.

                Ich habe nicht gewusst, dass es so viel Aufwand ist für Fachleute dieses zu beantworten.
                Das spielt eigentlich keine Rolle. Hier arbeiten Leute in ihrer Freizeit deren Ressourcen du binden möchtest, und die erwarten i.d.R. das du den ersten Schritt machst.
                [I]You know, my wife sometimes looks at me strangely. „Duncan“, she says, „there's more to life than Solaris“. Frankly, it's like she speaks another language. I mean, the words make sense individually, but put them together and it's complete nonsense.[/I]

                Kommentar

                • #9
                  Zitat von snboy2010 Beitrag anzeigen
                  Ok, sorry. Ich habe nicht gewusst, dass es so viel Aufwand ist für Fachleute dieses zu beantworten.
                  Öhm.. Um das geht es gar nicht. Und du hast oben schon Info bekommen mit denen du dich einlesen kannst. Und wenn du das nicht willst dann lass es. Aber es kann nicht sein das du hier deine Sachen erledigen lässt.

                  Und - ein Tipp - schau dir mal die Forenregeln an, speziell: Inserate, Konzepte und Meinungsumfragen

                  MOD: Verschoben von PHP-Einsteiger
                  The string "()()" is not palindrom but the String "())(" is.

                  Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
                  PHP.de Wissenssammlung | Kein Support per PN

                  Kommentar

                  • #10
                    Zitat von snboy2010 Beitrag anzeigen
                    Ich entdecke nur mein Interesse für IT-Sicherheit und auf ein Spiel gestoßen wo man Sicherheitslücken finden bzw. entdecken soll. Ich selber habe noch nie mit PHP programmiert. Ich verstehe zwar, dass hier mit einer GET-Methode gearbeitet wird und dieses irgendwo in der index.php deklariert ist. Aber weiter habe ich keine Ahnung. Jetzt kann ich entweder PHP-lernen, was mir aber nichts bringt, weil ich beruflich damit gar nichts zu tun habe oder ich dachte ich frage in einem Forum die Fachleute.
                    Dann hast du vielleicht den falschen Einstieg ins Thema genommen. CTF/Hackits erfordern meist ein sehr tiefgehendes Verständnis (und auch teilweise sehr exotisches Detailwissen) der eingesetzten Technonlogie/en. Das heißt mit der Einstellung wirst du da überhaupt nicht weiter kommen. In das Thema kann man aber auch auf anderen Ebenen einsteigen. Z.B. was sind die gängigen Angriffsvektoren. (https://www.owasp.org/index.php/Germany/Projekte/Top_10) Wie ist IT-Sicherheit und wie sehen mögliche Konzepte aus usw.

                    Kommentar

                    Vorherige Weiter
                    Lädt...
                    X