[How To] UCP auf Ini-Basis

SBIKA · 20. August 2012

Zitat von Tion

Und Session-Hijacking ist das klauen von Sessions von anderen Benutzern - das geht nur, wenn die Webseite gehackt wurde ( z.B. durch eine XSS-Lücke )

Inkorrekt. Bei dem von dir gezeigten Code ist Session-Hijacking moeglich. Bei erfolgreichen Login sollte zumindest ein session_regenerate_id stehen.

@.Steven.
Hatte mir schon gedacht, dass du das auf ein und demselben Server ausprobiert hast. Aber schoen zu sehen, dass du dir nicht zu fein dafuer bist einen Fehler zuzugeben. Andere haetten einfach nichts mehr dazu gesagt, oder sogar versucht den anderen tod zu quatschen (weil "nur meine Meinung ist richtig"), ohne jemals auszuprobieren, ob der andere nicht vielleicht doch recht hat/man sich geirrt hat. Haette dieses Forum ein reputation-system wuerdest du dafuer +1 von mir bekommen.

Burnett · 20. August 2012

Danke Sbika und danke Tion.

Ja, einen Fehler zu zugeben ist selbsverständlich, schließlich möchte ich keine falschen Behauptungen preisgeben und dem Produkt damit schaden.

Das Tion Ahnung von Sicherheit hat, weiß ich, schließlich verfolge ich aktiv seine Posts etc.

Aufjedenfall coole Sache mit dem Tut, lasst euch von meinem Beitrag nicht aufhalten.

Ich wünsche euch noch einen schönen Abend.

Tion · 20. August 2012

SBIKA, wo genau möchtest du fürs HiJacking ansetzen ? Alle Sessions durchraten ?
// Soll nicht provozieren, ich lerne nur gerne

SBIKA · 20. August 2012

Zitat von Tion

SBIKA, wo genau möchtest du fürs HiJacking ansetzen ? Alle Sessions durchraten ?

Zitat von SBIKA

dass der Angreifer dem Opfer einen Link zukommen laesst, bei dem die "PHPSESSID" gesetzt ist. Wenn der server nicht session_regenerate_id bei dem Login benutzt, dann ist es dem Angreifer moeglich die Session zu stehlen, da er die PHPSESSID kennt, welche die Login daten des Opfers nun hat (da sich dieser ueber den Link eingeloggt hat).

Cookies muessen entweder geleert oder deaktiviert sein, denn der PHPSESSID im Cookie wird eine hoehere Prioritaet zugewiesen, als der mit HTTP-GET uebermittelten PHPSESSID. (Zumindest bei dem Apache Server - bin mir nicht sicher ob das eine eigenart vom Server oder von PHP ist.) Wenn das gewuenschte Opfer also niemals seine Cookies leert und der Server niemals die sessions (den session-cache) leert, oder nach einer bestimmten Zeit als ungueltig erklaert - dann hat der Taeter keine so grosse Angriffsflaeche, trotz unsicheren Systems. Man koennte sagen, dass das System dann so unsicher ist - dass es schon wieder sicher ist.

Tion · 21. August 2012

Okay, an den GET-Parameter habe ich nicht gedacht
Korregiere ich später

[LP]Tochnas · 21. August 2012

Habe nun eine Verbindung zum FTP aufgebaut, bekomme nun bei der Zeile 33 ein ERROR

Warning: ftp_get() [function.ftp-get]: Unable to build data connection: Connection timed out in C:\xampp\htdocs\index.php on line 33

Der Loginist falsch !

Die Zeile 33: ftp_get($ftp, 'cache/'. $_POST['username'] .'.ini.cache', $_POST['username'] .'.ini', FTP_ASCII);

Tion · 21. August 2012

Zitat

Connection timed out

Sagt doch alles, oder
Öffne mal deine Firewall oder nutzte vorher iwo ftp_pasv

[LP]Tochnas · 21. August 2012

Danke es funktioniert nun

Tion · 21. August 2012

Bitte :thumbup

SFTP-Version:

PHP

<?php 
  session_start();
  // Eine neue Session-ID bei jedem Aufruf generieren - nur beim Login geht schlecht,
  //  da vorher Text ausgegeben wird und ich euch nicht mit OutputStream-Bufferring belästigen möchte
  //  „false“ bedeutet, alle Variablen nicht löschen.
  session_regenerate_id(false);
?>
<html lang="de">
  <head>
    <meta charset="utf-8" />
    <title>Mein UCP</title>
  </head>
  <body>
<?php
  // Einrücken müsst ihr selber :P
  if(isset($_SESSION['logedin']) && $_SESSION['logedin'] == true)
  {
    // Hier ist der Benutzer eingeloggt
    $player = parse_ini_file('cache/'. $_POST['username'] .'.ini.cache');
    echo'Wilkommen im Controlpanel, '. $_SESSION['username'] .'<br />'; // <- erinnert ihr euch ? Die haben wir bei dem Login gesetzt ;)
    echo'Du bist Level '. $player['Level'] .'<br />';  // In der Datei steht "Level=5", dann steht hier "Du bist Level 5"
    if($player['ALevel'] >= 1) // Wenn das ALevel ( Godfatherisch für AdminLevel ) größer als 1 ist, das auch ausgeben
      echo'Du bist Admin Level '. $player['ALevel'] .'<br />';
  }
  else
  {
    // Der Benutzer ist nicht eingeloggt
    if(isset($_POST['username']) && isset($_POST['password']))
    {
      // Das Formular ist abgesendet worden -> verarbeiten
      // Verbinden zu dem SSH-Server "127.0.0.1" auf Port 22
      $ssh = ssh2_connect("127.0.0.1", 22);
      // Einloggen mit dem Benutzer "bla" und dem Passwort "blub"
      ssh2_login($ssh, "bla", "blub");
      // Erstellen der SFTP-Dings
      $sftp = ssh2_sftp($ssh);
      // Pfad:
      $path = 'ssh2.sftp://'. $sftp .'/scriptfiles/Accounts/'. $_POST['username'] .'.ini';
      // Schummeln: Datei erstellen und später prüfen, damit ich nicht viel umschreiben muss :P
      if(file_exists($path))
        file_put_contents('cache/'. $_POST['username'] .'.ini.cache', file_get_contents($path));
      // Alter Code geht weiter
      if(file_exists('cache/'. $_POST['username'] .'.ini.cache'))
      {
        // Der Benutzer existiert - wir lesen seine Datei aus ( die wir gedownloaded haben )
        // Dazu nutzen wir parse_ini_file - das geht die Datei zeilenweise durch und macht aus einer Zeile "Key=xxx" folgendes: $array['Key'] = "xxx"
        $player = parse_ini_file('cache/'. $_POST['username'] .'.ini.cache');
        // Jetzt prüfen wir, ob das Passwort stimmt. WICHTIG: Bei einem GF müsst ihr das PW evtl. verschlüsseln !
        if($player['Key'] == $_POST['password'])
        {
          // Der Benutzer hat sich erfolgreich eingeloggt
          echo 'Du hast dich erfolgrecih eingeloggt.';
          // Jetzt setzen wir die Session-werte:
          $_SESSION['logedin'] = true;
          $_SESSION['user'] = $_POST['username'];
        }
        else
        {
          // Die Passwörter stimme nicht überein
          echo 'Das Passwort ist falsch !';
        }
      }
      else
      {
        // Der Benutzer existiert nicht
        echo 'Der Loginist falsch !';
      }
    }
    else
    {
      // Das Formular ist nicht abgesendet
      echo <<<FORMULAR
        <form action="index.php" method="post">
          Benutzername:<br />
          <input type="text" name="username" /><br />
          Passwort:<br />
          <input type="password" name="password" /><br />
          <input type="submit" value="Absenden" />
        </form>
FORMULAR;
    }
  }
?>
  </body>
</html>

Alles anzeigen

e: PHP geclosed

$ecure.x3 · 21. Januar 2013

Wenn die Daten vom FTP zum Webspace geladen werden und es nur .Ini Dateien sind wo eichtige Informationen wie das Passwort drinne steht, kann gestohlen werden.

Man sollte Zugriffe auf .Ini Dateien im Webspace nicht zulassen.

[DT]Midoman · 21. Januar 2013

Könntest du das alles noch mit MySQL machen?

$ecure.x3 · 21. Januar 2013

Zitat von Kryx

Könntest du das alles noch mit MySQL machen?

Du kannst gerne mein MySql Script anschauen