awstat.pl --> sicherheitslücke in phpbb

#0
24.04.2005, 13:57
Member

Beiträge: 328
#1 hi leute!
das habe ich hier im web gefunden: http://www.frsirt.com/exploits/20050124.awexpl.c.php

alerdings verstehe ich das ganze so nicht, wegen der ganzen fachwörter und so..

z.b.

Zitat

Let's execute '/usr/bin/w'
ist dann "w" etwa ein prog?

Zitat

http://localhost/cgi-bin/awstats.pl?configdir=%20|%20/usr/bin/w%20|%20
und ich wollte schon immer mal wissen wzu die fragezeichen und die % zeichen in einer url sind... ich weß ungefähr dass diese für metazeichen stehen, aba genaueres weiß ich nicht...

mGF J!M!
Seitenanfang Seitenende
16.07.2005, 23:28
k0fana
zu Gast
#2 das ist ein command execution bug mit dem man auf den ziel server alle möglichen unix befehle ausführen kann...so kann man z.b an die passfile oder an andere sensible daten herankommen...oder auch files uploaden und so shell access erlangen.
Seitenanfang Seitenende
17.07.2005, 18:25
Member
Avatar Gool

Beiträge: 4730
#3

Zitat

und ich wollte schon immer mal wissen wzu die fragezeichen und die % zeichen in einer url sind
Das sind die hexadezimalen Angaben für bestimmte Zeichen, die in einer Adresse normalerweise nicht vorkommen dürfen.

%20 ist zB das Leerzeichen (Space)

Eine Übersicht darüber: http://www.torsten-horn.de/techdocs/ascii.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: