Archiv verlassen und diese Seite im Standarddesign anzeigen : |
Wenn ich mal local ftp mache, auf einen vsftpd dann kann ich nach
anonymous login einfach
|/bin/sh eingeben.
|/bin/cat usw.
Ist das ein Fehler/Feature im Client?
Oder im vsftpd? (wobei ich das eher nich glaube)
derRichard
22.04.03, 19:07
hallo!
meinst du "!" oder "|" ?
bei mir geht nur "!", aber damit kann ich nur lokale befehle ausführen.
//richard
Ich meinte es ist |.
100% AW morgen.
Hab das grad gefunden:
Der FTP Client unter verschiedenen Versionen von UnixWare und Open
Unix beinhaltet einen unsicheren system()-Aufruf, der
Shell-Metazeichen beruecksichtigt. Beim Download von Dateien, deren
Name mit einem Pipe-Symbol ("|") beginnt, uebergibt der Client den
Dateinamen per system() Aufruf an die Shell, die dann versucht, diesen
als Befehl auszufuehren.
EDIT2: Habe grad mit proftpd probiert. Da ist es !
OK Es ist definitiv !
| war wohl bei Perl. Ich weiß nicht wie ich das verwechslen konnte.
Eventuell gibts auch Programme die mit | ein externes Prog starten?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.