Ankündigung

Einklappen
Keine Ankündigung bisher.

Command Injection

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Command Injection

    Hallo Forengemeinde,

    ich hätte eine Frage zum Thema "Command Injection":
    Ich habe eine Webseite mit dem CMS Drupal 7 auf einem ViruellenServer aufgesetzt. Dies hat auch wunderbar funktioniert und alles wird wie gewünscht angezeigt. Nun wurde ich darauf gebraucht die Webseite einem Sicherheitscheck zu unterziehen um eventuelle Schwachstellen zu finden. Dazu habe ich das Tool "OWASP Zed Attack Proxy Project" verwendet, was mir dan ein Sicherheitsproblem für "Remote OS Command Injection" gemeldet hat. Die genau Meldung lautet:
    Remote OS Command Injection
    Description:
    Attack technique used for unauthorized execution of operating system commands. This attack is possible when an application accepts untrusted input to build operating system commands in an insecure manner involving improper data sanitization, and/or improper calling of external programs.
    URL: https://
    example.org/cms/modules/system/system...B0%7Ds&?nr9mmk
    Parameter: system.menus.css
    Attack: system.menus.css&sleep {0}s&


    Leider konnte ich zu diesem Problem, bzw. dessen Lösung, keine genaueren Informationen finden. Könnt ihr mir eventuell weiterhelfen?
    Handelt es sich dabei um ein Problem was sich mit den Servereinstellungen oder PHP-Einstellungen beheben lässt? Oder hilft hier eventuell ein einfacher Eintrag in die htaccess?

    Viele Grüße,
    Tom

  • #2
    Die Meldung ist ja relativ offensichtlich. in PHP gibt es die Möglichkeit, Befehle auf Betriebssystemlevel (OS) auszuführen - also mit anderen Worten solche, die du normalweise ins Terminal/die Konsole eingibst. Das wird in PHP durch Funktionen wie exec() oder system() ermöglicht. Dabei auch Usereingaben zu akzeptieren ist natürlich relativ brisant, gerade wenn die wirklich völlig frei sind und nicht "entschärft" werden. Offensichtlich gibt es in der von dir verwendeten Version von Drupal ein solches Problem - ist die Installation auf dem neuesten Stand?

    Kommentar


    • #3
      Hallo alxy,
      danke für deine Antwort. Also liegt es wirklich an Drupal und nicht an irgendwelchen Servereinstellung?
      Ich verwender Drupal 7.38, was die aktuelle Version ist. Habe ich irgendeine Möglichkeit um dieses Problem zu beheben?
      Viele Grüße,
      Tom

      Kommentar


      • #4
        ich bin mir da nicht so sicher wie alxy.
        untrusted input, gut, aber was soll bitte bei dem command system.menu.css rauskommen?
        in der docu zu zap als penetration testing tool, wird immer auch eine ausgabe untersucht, was ja sinn macht.

        ich kann weder in dem command sytem.menu.css noch im dem command sleep{0}s irgendwas bösartiges erkennen, auch nichts was sich einfach mal so ner shell übergeben lässt.

        Kommentar


        • #5
          Hallo moma,
          das Problem tritt auch nicht nur bei den "sytem.menu.css" datei auf. Sondern ebenfalls bei:
          URL https://example.org/cms/modules/fiel...timeout+%2FT+5
          Parameter nr9mmk
          Attack |timeout /T 5

          URL https://example.org/cms/modules/syst...eme.css?nr9mmk
          Parameter system
          Attack system&timeout /T 5

          URL https://example.org/cms/sites/all/mo...205&%22?nr9mmk
          Parameter ckeditor.css
          Attack ckeditor.css"&timeout /T 5&"

          URL https://example.org/cms/sites/all/th...p%205s&?nr9mmk
          Parameter jquery-ui.css
          Attack jquery-ui.css&sleep 5s&

          URL https://example.org/cms%22%7Ctimeout...kbox.js?nr9mmk
          Parameter cms
          Attack cms"|timeout /T 5

          URL https://example.org/cms/sites/all&ti.../T%25205&%2522
          Parameter js
          Attack js"&timeout /T 5&"
          Deshalb hatte ich auch schon berlegt ob es sich um irgendeine falsche Servereinstellung handelt. Leider habe ich bisher nichts passendes bei meiner google-Suche gefunden.
          Viele Grüße,
          Tom

          Kommentar


          • #6
            das Problem tritt auch nicht nur bei den "sytem.menu.css" datei auf.
            welches problem? die meldung der software ?

            was passiert denn bei drupal, wenn du die genannten url aufrufst?

            Kommentar


            • #7
              By the way, nutze als Beispieldomains bitte example.org, die ist nach dem RFC auch dafür gedacht. Und auf jeden Fall besser als potentiell zwielichtige Domains.
              [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

              Kommentar


              • #8
                Hallo,

                @ChristianK: danke für den Hinweis. Ich hab den Beitrag entsprechend angepasst.

                @moma: beim Aufruf der URLs+Parametern wird die entsprechende Datei Aufgerufen. Ich bin mir nicht sicher ob die eingeschleusten Befehle wircklich ausgeführt werden. Allerding muss es ja einen Grund geben, weshalb diese Meldung angezeigt wird. Ich habe die Drupalinstallation nochmal auf einen lokalen XAMPP installiert, allerdings wurde dort diese Meldung nicht angezeigt.

                Viele Grüße,
                Tom

                Kommentar


                • #9
                  Zitat von Tom15 Beitrag anzeigen
                  @moma: beim Aufruf der URLs+Parametern wird die entsprechende Datei Aufgerufen
                  welche datei wird denn bspw. hier aufgerufen?

                  https://example.org/cms/sites/all&ti.../T%25205&%2522

                  Kommentar


                  • #10
                    Bei diesem Aufruf wird die Javascriptdatei "jquery-ui-timepicker-addon.js" aufgerufen. Die vollständige URL lautet: "../sites/all&timeout%20/T%205/themes/seven7/js/jquery-ui-timepicker-addon.js?nr9mmk".
                    Dabei Antwortet Drupal mit "The requested page could not be found."

                    Kommentar


                    • #11
                      aha!

                      Kommentar

                      Lädt...
                      X