Computerbeveiliging - Hoe je bad guys buiten de deur houdt

vraag

13-03-2014, 17:19 door Anoniem, 14 reacties
beste mensen.

Ik ben al een tijdje bezig met DVWA,
nu wil ik file inclusion en path traversal proberen.

Zie deze video: http://www.youtube.com/watch?v=f81HoSND_hc

in deze video laat iemand zien hoe het werkt.

Maar als ik hetzelfde doe, namelijk http://127.0.0.1/dvwa/vulnerabilities/fi.../passwd%00

dan krijg ik steeds deze melding: Warning: include() [function.include]: Failed opening '/etc/passwd' for inclusion

Terwijl hij het gewoon moet doen!

Moet ik iets wijzigen in de DVWA bestanden?


Bedankt, en hoop dat iemand mij kan helpen!
Reacties (14)
13-03-2014, 20:25 door didrix
Gebruik je windows of linux?
14-03-2014, 00:12 door DanielG
Door didrix: Gebruik je windows of linux?
Ik hoop zo dat hij windows zegt
14-03-2014, 00:24 door [Account Verwijderd]
[Verwijderd]
14-03-2014, 07:19 door Whoops
Door Ubuntu:
Door DanielG:
Door didrix: Gebruik je windows of linux?
Ik hoop zo dat hij windows zegt
Waarom?
Dan kunnen alle linux fanboys roepen dat didrix moet overstappen op Linux :)
14-03-2014, 08:42 door Mysterio
Door didrix: Gebruik je windows of linux?
Het zou toch niet? :)
14-03-2014, 08:57 door [Account Verwijderd]
[Verwijderd]
14-03-2014, 09:10 door Mysterio
Door Ubuntu:
Door Whoops:
Door Ubuntu:
Door DanielG:
Door didrix: Gebruik je windows of linux?
Ik hoop zo dat hij windows zegt
Waarom?
Dan kunnen alle linux fanboys roepen dat didrix moet overstappen op Linux :)

ja, is meestal wel een van de kreten die men hier slaakt
als ik de vraag van TS nog eens doorlees heeft hij/zij volgens mij toch echt linux, gezien /etc/passwd
Dat hopen we dan maar inderdaad.
14-03-2014, 09:24 door Preddie
De foutmelding geeft antwoord op jou vraag .....

Warning: include() [function.include]: Failed opening '/etc/passwd' for inclusion
14-03-2014, 10:13 door DanielG
Door Ubuntu:
Door DanielG:
Door didrix: Gebruik je windows of linux?
Ik hoop zo dat hij windows zegt

waarom? ben je fan van Steve Ballmer?

Ook, maar het lijkt mij gewoon grappig als iemand bezig is met DVWA maar niet zou weten dat /etc/passwd niet op windows aanwezig is.
14-03-2014, 11:21 door [Account Verwijderd]
[Verwijderd]
21-03-2014, 13:05 door Anoniem
OK. Dan bij deze het antwoord op dit draadje.

De foutmelding zegt niks over het platform, als in de PHP code staat dat hij moet zoeken naar de /etc/passwd zal die dat ook op een Windows box doen.

Even stellende dat je op een *nix box zit, (de foutmelding zou dan eerder een parse error zijn) de /etc/passwd is vaak alleen toegankelijk voor de root. Dus als je webserver onder user www of www-data draait heb je daar je een issue.

PS Wat is DVWA voor een vaag iets als hij iets met de /etc/passwd wilt doen? Dat hij die niet kan includen is juist prima. Dat zou een error moeten geven. Of omdat je toch op een Windows bak zit?
21-03-2014, 15:06 door [Account Verwijderd]
[Verwijderd]
21-03-2014, 16:02 door jacc0 - Bijgewerkt: 21-03-2014, 16:03
monocultuur gebruikers zijn kortzichtig. gebruik gewoon het platform dat het meest geschikt is voor de klus die je moet doen
21-03-2014, 16:12 door DanielG
Door Anoniem: OK. Dan bij deze het antwoord op dit draadje.

... de /etc/passwd is vaak alleen toegankelijk voor de root. Dus als je webserver onder user www of www-data draait heb je daar je een issue...

Sorry hoor, maar dit klopt niet. Zie ook http://en.wikipedia.org/wiki/Passwd: "The /etc/passwd file typically has file system permissions that allow it to be readable by all users of the system (world-readable)". Daarom wordt het juist gebruikt voor file inclusion en path traversal bewijs. Ook geeft de php functie "include" geen foutmelding bij het includen, het is gewoon een tekst bestand dat als tekst zal worden weergegeven.

Ook krijg je op de eerste hit op google wat DVWA is en waarom hij daarmee /etc/passwd probeert op te halen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.