SNOC – U23 Projekt 2011

Dieses Jahre hatte ich die Möglichkeit beim diesjährigen U23 des Chaos Computer Club Cologne (C4) Teilzunehmen wo es in diesem Jahr um Sicherheit in Webapplikationen ging. Nach ersten Einführungsveranstaltungen in denen uns die Basics der Web Exploids in Ausübung und Prävention näher gebracht wurden, haben wir Gruppen gebildet in denen Spezielle Themen behandelt wurden (C4 Wiki).

In Unserer Gruppe hatten wir das Thema PHP-Shell was ein PHP Skript darstellen soll der durch z.B. eine Uploader lücke eines PHP Skripts hochgeladen und ausgeführt werden kann. Wenn dieser Skript nun aufgerufen wird lädt der Browser eine fast voll funktionsfähige Konsole. Die Kommunikation verläuft mit AJAX und Base64 codiert damit die gesendeten Daten nicht in Logfiles o.ä. auffallen. Außerdem kann man frei auf dem Server Navigieren (mit den Rechten des apache users).

Weitere Funktionen:

  • Upload in das Arbeitsverzeichniss ( falls schreibrechte vorhanden )
  • Download JEDER Datei mittels „download [datei]“
  • Freie navigation mit cd
  • Autocompletion mit Befehlen (Ordner sollen folgen)
  • Komplexe Kommandeos sind im Menü „Weitere Funktionen …“ zu finden
Habe den Quelltext bei GIThub veröffentlicht: SNOC PHP-Shell (shell is not an oil company) 

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s