[PHP] Safemode is uit bij hosting, stom van ze?

donderdag 23 januari 2003 14:31

Acties:

0 Henk 'm!

Konijn is stoer!

Topicstarter

Hoi,

Ik heb een hosting pakket bij een provider (welke ik niet noem) en deze hebben tot mijn verbazing Safemode _uit_ staan.

Ik wilde dus eigenlijk wel eens weten wat ik allemaal kan op die bak.
Ik kan dus eigenlijk helemaal niets, ik ben user nobody dus ik kan nergens in, belangrijke bestanden kan ik niet lezen, dus waar maakt iedereen zich zo druk over?

Echt iets boeiends of belangrijks kan ik toch niet doen?

donderdag 23 januari 2003 14:40

Acties:

0 Henk 'm!

PowerSp00n

There is no spoon

Waarschijnlijk wel iets als open_basedir, kijk voor de gein eens

. Uit de manual:

When a script tries to open a file with, for example, fopen or gzopen, the location of the file is checked. When the file is outside the specified directory-tree, PHP will refuse to open it. All symbolic links are resolved, so it's not possible to avoid this restriction with a symlink.

donderdag 23 januari 2003 14:43

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

Topicstarter

PowerSp00n schreef op 23 januari 2003 @ 14:40:
Waarschijnlijk wel iets als open_basedir, kijk voor de gein eens . Uit de manual:

[...]

ja, fijn, maar de belangrijke bestanden kan ik toch niet lezen, daar heeft user nobody gewoon geen rechten toe!

Ik kon net hun httpd.conf lezen, nou joepie!

EVEN VOOR DE DUIDELIJKHEID, GA ME NIET VERTELLEN HOE IK DINGEN MOET GAAN KRAKEN E.D.

Dat zou namelijk vallen onder hack-request en dat is dit _niet_!

donderdag 23 januari 2003 14:49

Acties:

0 Henk 'm!

drm

f0pc0dert

Php

Wat wil je nou precies weten dan? Wat er dicht kan zitten zonder safe mode aan, ofzo

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

donderdag 23 januari 2003 14:49

Acties:

0 Henk 'm!

PowerSp00n

There is no spoon

Jij wilt weten waar iedereen zich druk over maakt. Als safe_mode uit staat en er geen andere beveiliging is kan ik gewoon /etc/passwd includen. Het is dus zeker wel ergens goed voor.

donderdag 23 januari 2003 14:54

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

Topicstarter

drm schreef op 23 January 2003 @ 14:49:
Wat wil je nou precies weten dan? Wat er dicht kan zitten zonder safe mode aan, ofzo

waar iedereen zich druk over maakt ja, ik kan op die bak echt helemaal niets, ja ik kan /etc/passwd lezen, so what?

Ik kan toch helemaal geen PW's lezen of echt top-secret stuff, waarom wordt er zo moeilijk gedaan over die safe_mode?

donderdag 23 januari 2003 14:54

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

Er staan vast wel meerdere site op diezelfde server. Je kan bij de site van de "buren" alle scripts lenen.

Programmer - an organism that turns coffee into software.

donderdag 23 januari 2003 14:55

Acties:

0 Henk 'm!

drm

f0pc0dert

Php

Ach, als open_basedir goed geconfigureerd is, kom je niet ver. Tenzij je ssh access hebt ofzo, maar dat heeft natuurlijk niets meer met je php configuratie te maken.

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

donderdag 23 januari 2003 14:56

Acties:

0 Henk 'm!

Verwijderd

kijk zelf even zou ik zeggen ;)

donderdag 23 januari 2003 14:59

Acties:

0 Henk 'm!

PowerSp00n

There is no spoon

Snow_King schreef op 23 January 2003 @ 14:54:
waar iedereen zich druk over maakt ja, ik kan op die bak echt helemaal niets, ja ik kan /etc/passwd lezen, so what?

Ik kan toch helemaal geen PW's lezen of echt top-secret stuff, waarom wordt er zo moeilijk gedaan over die safe_mode?

Om een systeem te beveiligen is het ook belangrijk dat je zo min mogelijk te weten kunt komen over een systeem. Als je weet welke users er op een server zitten en er eventueel eentje tussen zit met een brak password (username achteruit? je weet maar nooit

) kun je die er makkelijk uit halen door gewoon te proberen. Maargoed zo kun je nog wel even door gaan

.

donderdag 23 januari 2003 14:59

Acties:

0 Henk 'm!

sjroorda

Hmmm... even mijn provider een mailtje gestuurd: ook bij mij was het dus mogelijk! Thx for attending

donderdag 23 januari 2003 16:00

Acties:

0 Henk 'm!

Tom-Eric

Ik kan me een paar enge dingen bedenken, zo zou je bijvoorbeeld config files van andere clienten in kunnen lezen om zo aan paswoorden (database of account) te kunnen komen. Dit is nog makkelijker als er bijvoorbeeld gebruik wordt gemaakt van standaard pakketen (phpnuke / phpbb). Ook kan je waarschijnlijk met phpshell gewoon een shell emuleren (als je die niet al hebt) of ff lekker de cpu gek maken door grote bestanden in te lezen.

i76 | Webdesignersgids | Online Gitaarlessen & Muziekwinkels

donderdag 23 januari 2003 16:05

Acties:

0 Henk 'm!

Verwijderd

Een veel groter probleem is dat je met 'safe_mode uit' files van andere klanten kan bekijken, en dus bijvoorbeeld ook een script die een mysql database aanroept (hoppa passwordje en login erbij).

Een beetje clueless als dit dus kan bij een provider...

[ Voor 17% gewijzigd door Verwijderd op 23-01-2003 16:05 ]

donderdag 23 januari 2003 16:19

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

Topicstarter

Mja, dat zijn dingen die ik zou kunnen ja, der staan meerdere sites op die server..

Maar ok, echt veel boeiends kan ik niet, ik kan hooguit van MySQL stuff ophalen, fijn!

Ik mail ze wel ff!

EDIT:
hmm, iets heel raars!

Ik kan alleen de dir van mijn eigen website in en niet de dir van andere users!

ok in /home kan ik alleen de dir van mijn account in en niet de dir van andere users, maar aangezien apache onder nobody ook de sites van andere op kan halen moet ik die dirs toch kunnen lezen?

of zit er een module in apache die "inlogd" onder de username van het domein welke wordt opgevraagd?

[ Voor 52% gewijzigd door Snow_King op 23-01-2003 16:28 ]

donderdag 23 januari 2003 16:52

Acties:

0 Henk 'm!

Firefly III

Bedrijfsaccount Firefly III

-

[ Voor 100% gewijzigd door Firefly III op 05-03-2016 14:18 . Reden: Leeg vanwege privacy. ]

Hulp nodig met Firefly III? ➡️ Gitter ➡️ GitHub ➡️ Mastodon

donderdag 23 januari 2003 16:59

Acties:

0 Henk 'm!

neutcomp

Als je je niet druk maakt waarom vertel je dan niet bij welke provider je zit?

Gna gna

Cya
Bjorn

donderdag 23 januari 2003 17:04

Acties:

0 Henk 'm!

Verwijderd

Snow_King schreef op 23 January 2003 @ 16:19:
Mja, dat zijn dingen die ik zou kunnen ja, der staan meerdere sites op die server..

Maar ok, echt veel boeiends kan ik niet, ik kan hooguit van MySQL stuff ophalen, fijn!

Ik zou dat maar niet onderschatten als ik jou was...

Als je dentk dat safe_mode niet zo 'boeiend' is als het uit staat, dan moet je maar eens bedenken hoe je het zou vinden als iemand toegang had tot de databses van GoT, of van een webwinkel, of van een webmail client, of van een mailinglist, of ....

Slarioux schreef op 23 January 2003 @ 16:52:
Bij mij hebben ze safe mode op verzoek uitgezet, alleen op mijn site. Ik neem aan dat het wel dicht zit dus .

Haha.... lol... dat kan jij niet meer bij anderen kijken, maar anderen nog wel bij jou.

Dat lijkt me niet echt een handige oplossing...

[ Voor 50% gewijzigd door Verwijderd op 23-01-2003 17:08 ]

donderdag 23 januari 2003 17:07

Acties:

0 Henk 'm!

Sn3akz

Slarioux schreef op 23 januari 2003 @ 16:52:
Bij mij hebben ze safe mode op verzoek uitgezet, alleen op mijn site. Ik neem aan dat het wel dicht zit dus .

Heb je een dedicated server dan? Alleen dan is het mogelijk volgens mij. Is namelijk een globale PHP instelling.

donderdag 23 januari 2003 17:09

Acties:

0 Henk 'm!

Verwijderd

Sn3akz schreef op 23 januari 2003 @ 17:07:
[...]

Heb je een dedicated server dan? Alleen dan is het mogelijk volgens mij. Is namelijk een globale PHP instelling.

Je kunt safe_mode ook per virtualhost aan en uitzetten...

donderdag 23 januari 2003 17:18

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

Topicstarter

Verwijderd schreef op 23 januari 2003 @ 17:04:
[...]

Ik zou dat maar niet onderschatten als ik jou was... Als je dentk dat safe_mode niet zo 'boeiend' is als het uit staat, dan moet je maar eens bedenken hoe je het zou vinden als iemand toegang had tot de databses van GoT, of van een webwinkel, of van een webmail client, of van een mailinglist, of ....

[...]

Haha.... lol... dat kan jij niet meer bij anderen kijken, maar anderen nog wel bij jou. Dat lijkt me niet echt een handige oplossing...

lees even mijn post iets hoger, ik kan niet de dirs in van andere sites, heel raar

donderdag 23 januari 2003 17:26

Acties:

0 Henk 'm!

Config

Snow_King schreef op 23 januari 2003 @ 14:31:

Ik wilde dus eigenlijk wel eens weten wat ik allemaal kan op die bak.

Echt iets boeiends of belangrijks kan ik toch niet doen?

Snow_King schreef op 23 January 2003 @ 14:43:
[...]

EVEN VOOR DE DUIDELIJKHEID, GA ME NIET VERTELLEN HOE IK DINGEN MOET GAAN KRAKEN E.D.

Drugs are bad mmmkay

...

Anyway, je ken vast wel wat leuke dingen vogelen hoor...don't break it

, 'rm / -f -R' merk je ook op je eigen site

.

donderdag 23 januari 2003 17:27

Acties:

0 Henk 'm!

Verwijderd

Snow_King schreef op 23 January 2003 @ 17:18:
[...]

lees even mijn post iets hoger, ik kan niet de dirs in van andere sites, heel raar

Dat je niet in dirs kan komen van andere sites wil niets zeggen, je moet proberen rechtstreeks een file van een ander account te includen bijvoorbeeld.

donderdag 23 januari 2003 17:37

Acties:

0 Henk 'm!

SuperSchenk

een tijdje geleden heb ik mijn provider erop geattendeerd, safe mode stond toen wel aan. Tenminste dat melde phpinfo() echter dat was dus niet zo.

Ik kon toen allelei commando's uitvoeren:
w, ls, ifconfig, cat enz.

Zo kon ik ook door de gehele bak bladeren en in folders komen van andere websites.
Toch maar even gemeld bij ze

Onderwerpen