Toon posts:

Niet beveiligde hosting server van freehosting...

Pagina: 1
Acties:
  • 85 views sinds 30-01-2008

zondag 1 juli 2001 21:22

Acties:

Verwijderd

Topicstarter
Ik heb een website die gehost word bij freehosting en kan met behulp van php en passthru() echt alles op die server doen.

Is dit normaal? Zou ik iets willen killen dan kan het zo...httpd.conf: virtual domain erbij en een SIGHUP-je :)

zondag 1 juli 2001 21:32

Acties:

Verwijderd

dit is uiteraard niet normaal, maar tja...tis freehosting he...

zondag 1 juli 2001 21:38

Acties:

Verwijderd

Topicstarter
't Is maar goed voor freehosting dat er mensen zijn die alles kopieren van phpfreakz.com en verder niet gaan experimenteren zoals ik.

Zoals passthru('cd / && ls -R');

Dat duurt wel lang maar dan heb je wel een leuke index :) het is trouwens een dual 733 ofzo...PIII. 65 dagen up. Als ik die server beheerde......

zondag 1 juli 2001 22:13

Acties:

Verwijderd

Maar kun je root commando's uitvoeren dan?

Bierkameel heeft wel wat tips om je rechten te testen >:)

zondag 1 juli 2001 22:18

Acties:

Verwijderd

hee kan je niet voor mij ff een fijn acountje maken :) Ik ben hard op zoek naar een goede php hoster!!

zondag 1 juli 2001 22:24

Acties:
  • Xandrios
  • Registratie: Februari 2001
  • Laatst online: 05-05 19:50

Xandrios

Op zondag 01 juli 2001 22:18 schreef www.lb-theone.nl het volgende:
hee kan je niet voor mij ff een fijn acountje maken :) Ik ben hard op zoek naar een goede php hoster!!
goed id, ik wil ook wel >:) >:) >:)

zondag 1 juli 2001 22:24

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 06-05 22:26

Mark

Als je alles kunt dan hebben ze Apache onder de user root draaien en dat lijkt mij bijzonder sterk.
Probeer maar eens iets te kopieren en kijk wie de eigenaar word.

zondag 1 juli 2001 22:30

Acties:

Verwijderd

zeer slordig, ik hoop maar dat mijn account niet op die server staat, ik heb trouwens al een betere server gevonden

zondag 1 juli 2001 22:31

Acties:

Verwijderd

Op zondag 01 juli 2001 22:24 schreef RedRoon het volgende:
Als je alles kunt dan hebben ze Apache onder de user root draaien en dat lijkt mij bijzonder sterk.
Probeer maar eens iets te kopieren en kijk wie de eigenaar word.
Je kunt Apache niet als root draaien..

zondag 1 juli 2001 22:35

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 06-05 22:26

Mark

Op zondag 01 juli 2001 22:31 schreef [nielsonline] het volgende:

[..]

Je kunt Apache niet als root draaien..
Jawel hoor:
Error: Apache has not been designed to serve pages while
running as root. There are known race conditions that
will allow any local user to read any file on the system.
If you still desire to serve pages as root then
add -DBIG_SECURITY_HOLE to the EXTRA_CFLAGS line in your
src/Configuration file and rebuild the server. It is
strongly suggested that you instead modify the User
directive in your httpd.conf file to list a non-root
user.

zondag 1 juli 2001 23:01

Acties:

Verwijderd

Op zondag 01 juli 2001 22:13 schreef [nielsonline] het volgende:
Maar kun je root commando's uitvoeren dan?

Bierkameel heeft wel wat tips om je rechten te testen >:)
hehe >:)
Maar probeer inderdaad is iets, heb je bijvoorbeeld useradd rechten :? Of kun je de /etc/passwd file schrijven ?

zondag 1 juli 2001 23:02

Acties:
  • The Source
  • Registratie: April 2000
  • Laatst online: 13:05

The Source

Op zondag 01 juli 2001 22:18 schreef www.lb-theone.nl het volgende:
hee kan je niet voor mij ff een fijn acountje maken :) Ik ben hard op zoek naar een goede php hoster!!
Moet je vooral bij freehosting zijn...

zondag 1 juli 2001 23:16

Acties:

Verwijderd

Op zondag 01 juli 2001 22:35 schreef RedRoon het volgende:

[..]

Jawel hoor:
[..]
Hmmmmokay, zover heb ik niet gelezen ;)

zondag 1 juli 2001 23:17

Acties:

Verwijderd

cat /etc/mail/access

daar mag je (als het goed is :)) alleen als root bij.

zondag 1 juli 2001 23:23

Acties:

Verwijderd

Op zondag 01 juli 2001 22:18 schreef www.lb-theone.nl het volgende:
hee kan je niet voor mij ff een fijn acountje maken :) Ik ben hard op zoek naar een goede php hoster!!
en dan wil je een account bij Freehosting?

zondag 1 juli 2001 23:26

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 06-05 22:26

Mark

snelste manier om het te checken is:

- touch file
- ls -al file > test.htm

test.htm in je browser openen ;)

zondag 1 juli 2001 23:26

Acties:

Verwijderd

Je kunt alleen browse, voor derest niks ;)

zondag 1 juli 2001 23:28

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 06-05 22:26

Mark

Op zondag 01 juli 2001 23:26 schreef Generaal_Putlucht het volgende:
Je kunt alleen browse, voor derest niks ;)
Dat is ook logisch, je gebruikt de uid van de user waar de webserver onder draait.
Laat deze nu ook toevallig bij alle sites kunnen..

zondag 1 juli 2001 23:37

Acties:

Verwijderd

Je zou dus eventueel wel passwords kunnen jatten uit scripts voor mysql ;)

ALS freehosting dat ondersteunt ? :9~

zondag 1 juli 2001 23:50

Acties:

Verwijderd

Op zondag 01 juli 2001 23:37 schreef pimderks het volgende:
Je zou dus eventueel wel passwords kunnen jatten uit scripts voor mysql ;)

ALS freehosting dat ondersteunt ? :9~
Nope, is een ander root passwd.

zondag 1 juli 2001 23:52

Acties:
  • man-o-script
  • Registratie: Juni 2001
  • Laatst online: 06-05 21:06

man-o-script

//

okokokok, ik weet niet wat er bij mij op de server allemaal gehost wordt, maar het ziet er veelbelovend uit :P

TN_kont_a02.JPG
TN_kut_a03.JPG
TN_negerin_a02.JPG
TN_tiet_a09.JPG

hmmm...

//

maandag 2 juli 2001 00:11

Acties:

Verwijderd

hehehe
maar denk dat ze wel logs bijhouden..
je kan er mijn inziens dus echt wel probs mee krijgen.

maandag 2 juli 2001 00:18

Acties:

Verwijderd

Op zondag 01 juli 2001 23:50 schreef [nielsonline] het volgende:

[..]

Nope, is een ander root passwd.
Van gewone website users bedoel ik, maar ach; dan ben je ook al aardig triest bezig.

Freehosting is shit, wisten we al langer dus snap niet dat er nog steeds mensen intrappen...

maandag 2 juli 2001 01:33

Acties:

Verwijderd

Topicstarter
touch --h geeft wel output maar maken van file onveilig in /bin of /etc wil niet.

/tmp misschien...

wget http://http.distributed.net/pub/dcti/current-client/dnetc-linux-x86-elf.tar.gz werkt.

Ik ga hem niet runnen! Als iemand dit ziet van freehosting... :Securen!!! :?

Owner van tar.gz is btw nobody

maandag 2 juli 2001 02:04

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 06-05 22:26

Mark

Op maandag 02 juli 2001 01:33 schreef wrecker het volgende:
touch --h geeft wel output maar maken van file onveilig in /bin of /etc wil niet.

/tmp misschien...

wget http://http.distributed.net/pub/dcti/current-client/dnetc-linux-x86-elf.tar.gz werkt.

Ik ga hem niet runnen! Als iemand dit ziet van freehosting... :Securen!!! :?

Owner van tar.gz is btw nobody
Dus (bijna) niks aan de hand, dit is namelijk de standaard apache user en deze moet inderdaad alle sites kunnen lezen en op een aantal plaatsen schrijven (/tmp en log-dirs).

maandag 2 juli 2001 02:32

Acties:

Verwijderd

Waarvoor al deze ophef?

Ik durf toch wel bijna te garanderen dat je geen superuser privileges hebt!

Het feit dat je geen bestanden in /bin en dergelijke directories kan maken geeft toch wel genoeg aan of niet?

En geloof maar dat op een server waar meerdere mensen/bedrijven shell-toegang hebben, securitty een BIG issue is. Iets waarin ze niet zomaar iets dergelijks laten gebeuren.

maandag 2 juli 2001 07:34

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Ik had hem al eerder moeten sluiten.
Kloten op een server is in principe gewoon illegaal.
Pagina: 1

Dit topic is gesloten.