Warum hab ich mich wie ein Schnitzel gefreut, als du die Root rechte hattest :D Alleine das zuschauen macht sooooo Spaß :) Danke dass du dir Klausurenphase versüßt 😍
Mal wieder cooles Video, schaue mir gerade nochmals alle Videos zur Aufrischung an, vllt sehen wir uns morgen in den Kommentaren wieder @Florian Dalwigk... print("Bester Informatiker")
Gibt es wirklich PHP Entwickler die ein GET als include im eigenen code verarbeitet? Warum sollte man sowas überhaupt machen? Alles was per GET, oder POST kommt muss im backend überprüft werden, gegebenenfalls cleanen oder ablehnen. Include muss auch voher immer für sich geprüft werden ob das was eingebunden wurde auch tatsächlich vom Programmierer so gedacht wurde. 🤔🤷♂️
Ja, das gibt es! Sonst würden wir nicht darüber reden müssen ;) Deine Awareness für solche Themen ist sehr ausgeprägt, leider ist das nicht bei allen so.
Letztendlich lädt man da, wie im Video erwähnt, das Skript einfach nur von einem fremden Server. Von daher wäre es völlig überzogen, das noch einmal in einem separaten Video zu behandeln.
Ist dieser SSH Zugriffe auch möglich wenn ich nur die Ports 80 und 443 im Router freigegeben habe? Meinem Verständnis nach sollte das doch gar nicht möglich sein, da ich mich im Netzwerk befinden muss um auf 22 zugreifen zu können.
Tja und Filesysteme wie NTFS ohne zureichende Sicherheitsmechanismen auf Filesysteme Ebene bedingen das auch noch. Da sie nicht feststellen können, wenn an gültige Dateien Schadcode angehängt wird. Ein Schelm wer böses denkt! ;) ;)
Natürlich kann man das bei schlechter Programmierung auch mit Cookies oder anderen URI Parametern machen, ich habe sowas ähnliches mal bei einer (rest)API bemerkt
Perfekte Uploadzeit für Informatiker
Und E-Techniker 😂
stimmt! darauf erstmal einen Frühstücks kakao
Ihr seid auch solche Kellerkinder? 😂
@@Florian.Dalwigk gehört das nicht zur Stellenbeschreibung eines Informatikers?
Wenn du im Nachtdienst arbeitest, dann ja.
Moin, moin! Sehr interessantes Thema! Danke für deine Arbeit!👍👍👍🤟😎
Gerne 😊
Pünktlich um 0 Uhr :o
Danke YT Veröffentlichungstool 👍 Das ist Gift für den Algorithmus 😬
Warum hab ich mich wie ein Schnitzel gefreut, als du die Root rechte hattest :D Alleine das zuschauen macht sooooo Spaß :) Danke dass du dir Klausurenphase versüßt 😍
Gerne 😊😊😊
Und viel Erfolg für die anstehenden Klausuren!
Gerne mehr von Tryhackme! (:
Auf jeden Fall!
So cool. Bitte mehr davon!
Danke dir! Natürlich :)
Mal wieder cooles Video, schaue mir gerade nochmals alle Videos zur Aufrischung an, vllt sehen wir uns morgen in den Kommentaren wieder @Florian Dalwigk... print("Bester Informatiker")
Perfekt Upload Zeit😂
(Habe aber erst in der Schule Zeit für ein Kommentar)
Tja, das habt ihr TH-cam zu verdanken ... 🙈🤦
Mehr von THM pls
Auf jeden Fall!
wiedermal ein tolles video mach weiter so
Danke dir 🙃😊
ein Video zur Remote file Inclusion wäre toll, hast du zufällig eine playlist in der du sehr typische "schwachstellen" vorstellst und erklärst?
Noch nicht, ist langfristig aber in Planung
Cooles Video.
War sehr informativ, danke.
Gerne :) Vielen Dank für dein Feedback!
Iiiiirre gutes Vid🤘
Danke Dir😄🌹
Gerne :)
Super Video!!❤👍
Danke dir :)
Gibt es wirklich PHP Entwickler die ein GET als include im eigenen code verarbeitet? Warum sollte man sowas überhaupt machen? Alles was per GET, oder POST kommt muss im backend überprüft werden, gegebenenfalls cleanen oder ablehnen. Include muss auch voher immer für sich geprüft werden ob das was eingebunden wurde auch tatsächlich vom Programmierer so gedacht wurde. 🤔🤷♂️
Ja, das gibt es! Sonst würden wir nicht darüber reden müssen ;) Deine Awareness für solche Themen ist sehr ausgeprägt, leider ist das nicht bei allen so.
Kannst du auch eins zum Remote File Inclusion machen?
Mal schauen.
Letztendlich lädt man da, wie im Video erwähnt, das Skript einfach nur von einem fremden Server. Von daher wäre es völlig überzogen, das noch einmal in einem separaten Video zu behandeln.
Ist dieser SSH Zugriffe auch möglich wenn ich nur die Ports 80 und 443 im Router freigegeben habe? Meinem Verständnis nach sollte das doch gar nicht möglich sein, da ich mich im Netzwerk befinden muss um auf 22 zugreifen zu können.
Port 22 ist hier offen.
@@Florian.Dalwigk aber wer macht das denn in der Praxis, wo es doch über einen VPN oder eine Online VM (bspw. guacamole) genau so gut geht?
Viele machen das.
Okay, verstehe. Hier sieht man dann wohl warum man das nicht tun sollte…
Genau
gut erklärt... aber die flags waren schon etwas trickier zu bekommen.
Was meinst du genau?
Tja und Filesysteme wie NTFS ohne zureichende Sicherheitsmechanismen auf Filesysteme Ebene bedingen das auch noch. Da sie nicht feststellen können, wenn an gültige Dateien Schadcode angehängt wird. Ein Schelm wer böses denkt! ;) ;)
Nein, bei Klein&Weich ist das nie Absicht, das ist einfach nur lange kultivierte Dummheit :-)
😏
Natürlich kann man das bei schlechter Programmierung auch mit Cookies oder anderen URI Parametern machen, ich habe sowas ähnliches mal bei einer (rest)API bemerkt
Jede gute hacker anleitung sagt vorher dass sie keine ist xD
Es ist aber wirklich keine ;)
Das ist keine LFI sondern ein Directory Traversal Angriff. Schmeissen die Leute aber auch gerne mal durcheinander
So heißt eben der Raum auf THM ;)
@@Florian.Dalwigk Aber du stimmst mir zu?
Es ist nur eine LFI, wenn du auch tatsächlich willkürlichen Code ausführst.
Naja, eine Insclusion impliziert erstmal keine Execution.
POV:Du darfst der 100 Liker sein.🤣