2. Juli 2012

PHP-Source-Viewer

Category: Hacking — Christian @ 16:59

So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man über die Weboberfläche direkt den Source Code einer PHP-Datei ankucken.

Beispielsweise kann man kontrollieren ob Benutzername und Passwort der Datenbank korrekt eingetragen sind.

 46     $dbtype     = 'mysqli';     // db-Server-Typ        
 47     $host       = 'localhost';     // Server                
 48     $user       = 'root';        // Benutzer             
 49     $password   = '';            // Passwort             
 50     $dbase      = 'cms';        // db-Name

Oder ob noch alle User in der Passwort-Datei stehen.

  1 root:x:0:0:root:/root:/bin/bash
  2 bin:x:1:1:bin:/bin:/sbin/nologin
  3 daemon:x:2:2:daemon:/sbin:/sbin/nologin
  4 adm:x:3:4:adm:/var/adm:/sbin/nologin
  5 lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  6 sync:x:5:0:sync:/sbin:/bin/sync
226 michae2:x:10288:2524::/home/httpd/vhosts/michaelster.ch:/bin/false

Die Passwörter selbst stehen leider in der Shadow, die der Webserver-Prozess nicht lesen darf. Spannend ist natürlich wenn man anhand der Passwort-Datei erkennen kann, welche Domänen auf dem Server gehostet werden.

Ich hab dem Provider eine Mail geschickt. Mal sehen wie schnell das geschlossen wird.

Aber das scheint öfter vorzukommen.

Nachtrag: In zwei Stunden war die Lücke zu.


Tags: