[Tut] Webdav Server Hack

[Pixelz]

Wenn man Xampp installiert ist Webdav standartgemäß an, natürlich wird auch automatisch ein User erstellt aber genau DAS wissen sehr viele nicht, obwohl das alles in der "passwords.txt" steht.

Code:

### XAMPP Default Passwords ###

    1) MySQL (phpMyAdmin):

    User: root
    Password:
    (means no password!)

    2) FileZilla FTP:

    User: newuser
    Password: wampp

    User: anonymous
    Passwort: some@mail.net

    3) Mercury:

    EMail: newuser@localhost
    User: newuser
    Password: wampp

    4) WEBDAV:

    User: wampp
    Password: xampp

Bei den 4. Punkt stehen die Daten für eine Webdav verbindung, Webdav ermöglicht einen gemeinsamen Remote-Zugriff auf die Dokumente im www.
Auszug aus einer Xampp Datei:

Zitat:WEB-DAV für den gemeinsamen REMOTE-Zugriff
auf WWW-Dokumente über den Apache2.


Das heißt, jeder könnte ein Programm, wie z.B WebDrive downloaden, sich mit den oben angegebenen Daten einloggen -> Eine Shell Datei hochladen -> Die Config Dateien öffnen und Datenbank Passwörter etc. auslesen.

1. Heißt nun für uns man sucht sich einen Server mit Webdav Lücke
zb. der hier http://213.239.220.202/webdav/ -> schön zu sehen an der Testpage

2. Nun installiert man sich Webdrive und stellt eine Verbindung mit dem Server her. Dort läd man am besten eine c100.php hoch

3. Nun kann man sich über dieses Enter Fenster zb. Adminrechte verschaffen, die Firewall deaktivieren etc.

Verwendete Programme:
http://www.file-upload.net/download-...drive.rar.html

Quelle für den oberen Textteil: Xampp Sicherheitseinstellungen - Sicherheit - Coding-Community.com - Snippets, Tutorials, Support

Sicherheitshinweis: Wenn man das macht immer schön Vpn´s/Proxys verwenden, 1und1 hat zb. ein paar Honeypots die solche Angriffe registrieren.