shell befehl via cgi?

[wintix]

hallo.

ist es möglich via cgi skript einen befehl auf der shell auszuführen?

der befehl sollte wenns geht frei wählbar sein, z. B. vorher in ein Textfeld schreiben und dann ab ausführen klicken oder per ? übergeben...

hat jemand nen vorschlag?

danke schonmal

[Anonymous]

hi,

in perl waere es so zu implementieren:

--cut--
system("uptime");
--cut--

dabei wird in shell das befehl "uptime" ausgefuehrt.
anstelle der "uptime" kann auch ein beliebiges parameter steht, z.B. variable "$varibale", die von web-interface aus belegt werden kann.

gruess
voodoo

[dodolin]

ist es möglich via cgi skript einen befehl auf der shell auszuführen?

Ja.

Es wäre vielleicht ganz nett zu wissen, an welche Sprache du gedacht hättest, oder ob du z.B. auch direkt ein Shellskript als CGI ausführen willst?

der befehl sollte wenns geht frei wählbar sein, z. B. vorher in ein Textfeld schreiben und dann ab ausführen klicken oder per ? übergeben...

Du bist wahnsinnig! Mir stäuben sich alle Haare zu Berge, echt!

[sascha]

Sowas gibts. Für php z.B. phpshell. In Perl müsste sich bestimmt auch was finden lassen ;).

[wintix]

eigentlich isses egal, mit was es realisiert wird, mit der sicherheit hab ich kein problem, man kann ja ein passwortgeschütztes verzeichniss anlegen und kann dadurch ja nur mit authentifizierung auf die pages bzw skripte zugreifen.

mir wär ehrlich gesagt php am liebsten... mal gucken was ich zu phpshell so find... mal etwas googlen...

[dodolin]

PHP -> http://de.php.net/manual/en/ref.exec.php

Alla guud, dann sage ich zum Thema Sicherheit nix mehr...

[wintix]

dacht ich mir fast, dass mein wunsch hier etwas kopfschütteln hervorruft :)

[Anonymous]

Sag Bescheid wenn's fertig ist.
Würde gerne mal die Wirkung von

Code: Select all

rm -f /

ausprobieren *LOOOL*

Aber mal ehrlich: Was soll soetwas per Webinterface bringen? (von extremer Leichtsinnigkeit abgesehen?)
Wenn jemand sowieso alles als Befehl ausführen darf (wenn er denn Zugriff eingeräumt bekommt), kann er mit nem Shell-Account sicher sinnvoller arbeiten.

[steffz]

Die schönsten Befehle werden doch kaum funktionieren, sofern der Apache nicht gerade als Root läuft. Ansonsten spielt es ja auch keine große Rolle, ob man so ein Webinterface hat, oder seinen Benutzern CGI erlaubt, oder sehe ich das falsch?

[alexander newald]

Der Unterschied ist, dass CGI vom Inhaber des Accounts programmiert wird und nur er das coden können sollte. Stelle ich eine Webshell zur Verfügung, kann da jeder Shellanweisungen ausführen (solange nicht mit Passwort gesichert)

[wintix]

angenommen ich führe apache als root aus,
nehme ein durch confixx passwortgeschütrztes directory und tu da mein cgi php oder was auch immer rein, mit dem ich halt befehle ausführen kann.

ist doch eigentlich sicher, weil nur ich zugriff auf den server hab und alles mit enntsprechend sehr langen passwörtern gesichert ist.

es soll ja nur ein hintertürchen sein, falls mal was spinnt, ich versehentlich des paswort beim root änder oder sonst was, denn über diese notdürftige shell könnte ich mir zur not nen user erstellen und dem ein passwort geben, oder gleich das root paswort ändern.

vielleicht hat irgendjemand ne lösung in cgi oder so?

fürn kleines beispielskript wär ich wirklich dankbar, ich schaffs nämlich net, auch unter zuhilfenahme diverser howtos und manuals... :(

[alexander newald]

Sowas macht man nicht *schauder* :evil:

[Anonymous]

Wenn ich so meine Arme anschaue: extreme Gänsehaut! :-)

Wahrscheinlich ist Dein Server noch nicht mal mit SSL konfiguriert, oder?
Dann lass mal einen blöden Hacker (und das ist wirklich nicht schwer) deinen 80er-Port (HTTP) mitschneiden... Wenn er nicht zu blöd ist, hat er in kurzer Zeit Dein (egal wie langes) Passwort.

Und dann kommt doch ein "rm -f /", denn der Server läuft ja als Root....
Oder es setzt *jemand anderes* ein neues Root-Passwort und ergreift in kurzer Zeit Besitz von Deinem System.

Interessant, wie hier selbst der Gedanke an minimalste Sicherheit mit Füßen getreten wird!


Schaurige Grüße,
Carsten


PS: @wintix: Bitte 1&1 mal darum, Deinen Server abzuschalten. Du bist ne Gefahr für's Internet. :-P

[wintix]

er hat ssl... und macht auch ganz brav über nen ssl tunnel nen backup von der mysql db :-)

[alexander newald]

Der Webserver??

[wintix]

axo... der webserver macht das backup natürlich nicht, des macht nen cron job... aber ja der webserver hat auch ssl drauf :)

[Anonymous]

Mir ist jetzt aber der SSL Tunnel im Zusammenhang mit Cron unklar...

Du weisst schon, was Du da tust, oder?

Aber um zum eigentlichen Thema zurückzukommen: lass es

[wintix]

ich habe einen ssl tunnel zwischen root server und meinem lokalen hier.

über mysqldump schieb ich dann die eine db auf die andere rüber :) also sicherung.

das ganze wird über nen cron job gesteuert.
jetz klar?

[dodolin]

angenommen ich führe apache als root aus,

fürn kleines beispielskript wär ich wirklich dankbar, ich schaffs nämlich net, auch unter zuhilfenahme diverser howtos und manuals...

Nein. Sowas sollte man nicht unterstützen. Punkt. Du baust Sch.eiße. Das alleine ist ja noch nicht so schlimm. Das ganze aber wissentlich zu tun schon.