[OTsecurity] PHPMyAdmin liest lokale Files. Ernstes Problem?

STiGMaTa_ch

Hallo zusammen

Sicher haben einige von euch schon mitbekommen, dass PHPMyAdmin lokale Dateien auslesen kann (Heise:PHPMyAdmin liest lokale Dateien) wegen eines Fehlers in libraries/grab_globals.lib.php.

Mit folgendem Exploit kann man z.B. mittels einem lokal installierten PHPMyAdmin, andere lokale Dateien auslesen:

moe · Posted: Wed Oct 12, 2005 11:04 am Post subject:

Hmm, solche Fragen haben immer viel Streitpotential ;-)

Ich sehe es ähnlich wie du, der Zugriff auf die Dateien findet im Benutzerkontext von apache statt, wirkliche wichtige Sachen sollten damit also (ein vernünftiges Setup vorausgesetzt) nicht lesbar sein.
Andersrum gibt es genug Punkte die dann potentiell auch zu einer Gefahr werden könnten, zum einen ist der Bruteforceaufwand sehr viel geringer, wenn ich schon weiss welche Benutzer eine Shell haben. Zum anderen gibts noch viele Dienste, in denen Passwörter im klartext in einer conf stehen, und gerade im Bereich der Webapplikationen, kann man diese Sachen auch nicht für den Apache unlesbar machen. Bei deiner Konfigurationsdatei von phprojekt hats nicht geklappt, da sie .php heisst und vom apache interpretiert wird, aber es gibt sicher einige Projekte bei denen die Konfigurationsdateien nicht auf php enden, und ausserdem ist die Chance relativ hoch eine Sicherheitskopie zu finden, die dann auch nicht auf .php endet..
Also alles in allem seh ich diesen Bug als sehr kritisch an, sich beruhigt zurücklehnen kann man eigentlich nur, wenn der phpmyadmin in einem chrooteten dedicated Apache läuft ;-)

Gruss Maurice

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Oder wenn der PHPMyAdmin nur durch ne Userauthentifikation erreichbar ist und das somit nur der Admin darf.

Aber wenn der, wie bei hosterns üblich, den Usern zur Verfügung gestellt wird, würde ich schleunigst was dran ändern!
_________________
...it's only Rock'n'Roll, but I like it!

Marlo · Veteran Joined: 26 Jul 2003 Posts: 1591

amne

b3cks · Posted: Wed Oct 12, 2005 11:17 am Post subject:

Als ich das gelesen habe, hab ich mir nur zwei Fragen gestellt:
a) Wer veröffentlicht denn bitteschön den Link zu seinem PHPMyAdmin?
b) Wer schützt das Teil nicht richtig? (HTAccess würde schon ausreichen und ist AFAIK sogar eine Funktion von diesem Tool)

Man brauch allerdings nur halbwegs Google bedienen können, um herauszufinden, dass es anscheinend so einige gibt. :roll:

Dann brauch man sich nur noch den Server etwas genauer anzugucken, was da noch so "interessantes" drauf läuft und mit etwas Glück kann man wertvolle Configs und andere Dateien auslesen, um so an sensible Daten zu kommen. Im Endeffekt aber alles nur Spielerei.
_________________
I am /root and if you see me laughing you better have a backup.

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

moe · Posted: Wed Oct 12, 2005 11:33 am Post subject:

Bei öffentlichen Hostern sehe ich auch das grösste Gefahrenpotential.. Wenn die Hoster selbst phpmyadmin anbieten, können (bzw. sollten) sie ihn auch sicher konfigurieren, und bei Bekanntwerden von Sicherheitslücken selbige schliessen.
Anders siehts aber aus, wenn sich der Kunde selbst phpmyadmin installiert, dann existiert zwar kein Link den Google vielleicht findet, aber ein Skript, der das Vorhandensein von $domainname/phpmyadmin/ überprüft, ist ja auch keine Schwierigkeit. Das Schlimme ist dann, dass nicht nur der Kunde selbst, der sein phpmyadmin nicht absichert, gefährdet ist, sondern jeder andere Kunde auf dem System, und evtl. auch das System selbst.

Lösung? Jeder Hoster muss

b3cks · Posted: Wed Oct 12, 2005 11:46 am Post subject:

@Anarcho:
Klar, das wird auch, wie moe sagte, das größte Prob sein. Aber wie auch gesagt, kann man das mit einfachsten und professionellen Mitteln unterbinden.
Man darf gespannt sein, was alles passiert... oder eben nicht.
_________________
I am /root and if you see me laughing you better have a backup.

Deever · Posted: Wed Oct 12, 2005 12:05 pm Post subject:

Wer benutzt eigentlich diesen PHP Krempel? MySQL Control Center existiert und läßt sich auch perfekt tunneln.

Gruß,
/dev

b3cks · Posted: Wed Oct 12, 2005 2:57 pm Post subject:

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Ach lass den deever mal reden - der benutzt auch so ne komische shell ... :twisted:

_________________
...it's only Rock'n'Roll, but I like it!

Deever · Posted: Wed Oct 12, 2005 4:36 pm Post subject:

Wieso komische Shell? Wer eigenartige[tm] find<->grep<->ls Pipes bevorzugt, kann ja die Bash nehmen, nur zum vernünftigen Arbeiten ist die zsh *einiges* besser geeignet.

PS: Sorry übrigens wegen dem mysqlcc-Link, schließlich hat ja nicht jeder SSH-Zugang zu seinem Server!

Gruß,
/dev

STiGMaTa_ch · Posted: Wed Oct 12, 2005 8:05 pm Post subject:

@moe

b3cks · Posted: Wed Oct 12, 2005 8:11 pm Post subject:

@Deever: Ich glaube der Support des Hosters würde sich auch erschießen, wenn dieser seinen Kunden SSH Login anbietet und dann sagt man könne ja alles über die MySQL-Console machen. :twisted:

@STiGMaTa_ch: Du hast schon recht. Wer halbwegs auf dem laufenden ist und ein bisschen 'nen Plan davon hat, kann darüber - eigentlich - nur schmunzeln. Es ist aber trotzdem nicht ausgeschlossen, dass durch so einen Bug Schaden entstehen kann, vor allem auf Servern, die nach Standard installiert sind bzw. die darauf laufende Software. Nur mal ein harmloses Beispiel: Ich habe einen WebServer laufen mit einer CMS Software für eine Webseite. Diese braucht natürlich MySQL als Backend. Nun findet jemand heraus, dass bei mir PHPMyAdmin mit dem oben besagtem Bug läuft und dieser haut auf dem System auch hin. Nun überprüft der "Angreifer" erst, was für ein Webserver und welche Distribution auf dem Server läuft. Sowas rauszufinden ist kein Kunststück. Er findet raus, dass es ein Apache WebServer auf Distribution X ist. Nun kann er mittels des Bugs z.B. die httpd.conf auslesen, wenn er weiß wo die liegt. Man kann es natürlich auch nachgucken. Wie gesagt, wir gehen von Standardkonfiguration aus. Nun könnte er damit herausfinden wo genau die CMS Software liegt. Jetzt braucht er sich nur mit der Software auseinandersetzen und herausfinden, in welcher Datei die Login-Daten für die Datenbank gespeichert sind und kann diese auch auslesen. Wenn das ganze klappt, hat er ein bisschen Spaß mit der CMS-Datenbank, mit etwas mehr Glück hat er auch noch mehr Spaß mit anderen Datenbanken. Wie ich schon sagte ist sowas, in meinen Augen, nur Spielerei. Es kommt immer auf die Situation an, mit etwas Glück bzw. Pech, je nach Sicht des Betrachters, sind auch ganz andere Sachen möglich.
_________________
I am /root and if you see me laughing you better have a backup.

nic0000 · l33t Joined: 25 Sep 2005 Posts: 658

Ich klink mich mal hier einfach ungefragt ein :-)

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

So, jetzt mal ein echtes Beispiel aus der Praxis (selber mal zu testzwecken durchgeführt):

Note: Zugegeben - der Admin war wirklich nicht der klügste (wie ihr sehen werdet), meinte aber alles im Griff zu haben, daher auch der kleine Versuch.

Es gab in PHPKit eine schwachstelle die Cross Site Scripting erlaubte. Daraufhin habe ich einen Exploit geschrieben der mir das Cookie eines Users in meine Datenbank speichert. Dieses Cookie enthält das Passwort des users als md5 hash zwecks Autologin.
Nachdem also ich also das md5 hash des Adminpassworts in meiner Datenbank hatte reichte ein 2 Stunden Test mit mdcrack und ich hatte auch das dazugehörige Klartextpasswort. Damit konnte ich mich nun PHPKit gegenüber als Admin anmelden und über das AdminControlPanel einen Dump der Datenbank runterladen. Darin wiederrum waren alle Userdaten und ebenfalls deren Passwörter als md5 hashes. Diese hätte ich auch weiter bearbeiten können aber da es nur Demonstration war, habe ich das gelassen. Weiter gibt es aber noch einen Hauptbenutzer bei PHPKit der aber auch in dieser Datenbank steht. Dessen Passwort war nur 4-stellig und daher in 2 Sekunden geknackt. Dummerweise war der Admin so dumm das der Login zum Webinterface seines Providers das gleiche Passwort benutzte. Somit hatte ich also schon zugriff auf das Webinterface. Dort konnte man alle Passwörter ändern - auch das FTP-Passwort und schon hatte ich zugriff auf den FTP. Das MySQL Passwort war mir egal - ich hatte den Dump ja schon, aber ich hätte auch das ändern können.
Mit all diesen Zugriffsrechten hätte ich nun wirklich alles machen können und das ganze nur weil der Admin auf nen Link in seinem Gästebuch geklickt hatte.

Was ich damit sagen will: Da viele Leute ihre Passwörter mehrfach verwenden (ja auch ich schonmal) kann so ein kleines Sicherheitsloch eine verdammt grosse Wirkung haben. Daher sollte man bei jeder Software die irgendwie öffentlich zugänglich ist verdammt aufpassen und das NICHT auf die leichte Schulter nehmen.

Ich persönlich habe phpmyadmin noch in einer verdammt alten Version drauf. Aber da nur ich dan den phpmyadmin ran komme ist mir das persönlich egal obwohl ich den doch upgraden werde denn wie man ja gesehen hat könnte es doch möglich sein über eine andere Schwachstelle vielleicht meine .htaccess zu löschen und dann wäre ich ziemlich gekniffen.

Hacken ist immer eine Kombination von vielen Dingen - sowas wie ne direkte Shell (MS SQL Server) findest du eben fast nur bei MS.

Ach ja: Mittels SQL Injection geht das ganze noch einfacher - da bekommt man nämlich die hashes auf dem Servierteller.
_________________
...it's only Rock'n'Roll, but I like it!

nic0000 · l33t Joined: 25 Sep 2005 Posts: 658

amne · Posted: Sat Oct 15, 2005 8:54 am Post subject: