Knuddels Serversoftware

[DMW007]

Guten Abend,

ich hab letztens durch Zufall festgestellt, dass im Header des Knuddels Shopservers die Namen inklusive Versionsnummern der dort eingesetzten Software gesendet werden.

Knuddels.de/shop - der KnuddelsShop. T-Shirts, Polos, Hoodies und Codes!

Server: Apache/2.0.51 (Fedora) mod_perl/1.99_12 Perl/v5.8.3 DAV/2 mod_auth_pgsql/2.0.1 PHP/4.3.11 mod_ssl/2.0.51 OpenSSL/0.9.7a

Wie man sieht ist hier teilweise stark veraltete Software im Einsatz.

Habe mir daraufhin mal andere Server von Knuddels angesehen. Dort ist Knuddels zwar nicht so dumm und sendet alles im normalen Header mit, hat aber dafür vergessen die Verionsnummern auf Fehlerseiten abzuschalten.

Wenn man auf der spenden-Subdomain eine Fehlerseite provoziert, z.B.

Code:

http://spenden.knuddels.de/spenden/lol

sieht man, dass hier Apache mit Tomcat in einer ebenfalls uralten Version läuft:

Apache Tomcat/5.5.15

Auf Knuddels.de - Der Chat sendet der Server auch schön brav einige Infos über die dort eingesetzte Software mit.

Server: Apache/2.2.3 (Red Hat)

Immerhin läuft hier keine so alte Version wie auf dem Spendenserver.

Knuddelsforum: Knuddels.de-Forum

Server: Apache/2.2.14 (Ubuntu)

CT-Seite: Chattertreffen Knuddels.de

Server: Apache/2.2.3 (Red Hat)

Beach: Knuddels Beach

Server: Apache/2.2.14 (Ubuntu)

Ich sage jetzt mal nix dazu. Wer damit was anfangen kann weiß bescheid, der Rest sollte es lieber gleich bleiben lassen.
Ich übernehme auch keine Haftung dafür, wenn ihr mit den Infos irgendwelchen Unsinn anstellt - dient alles nur zu Info- und Lernzwecken

[3lit]

Wer damit was anfangen kann, kann auch selber die eingesetzte Version raus finden.
Viel spannender wäre gewesen, wenn du z.B. auch den svn Server gefunden hättest .

[WurstEsser]

Das ist ja mal ne schöne Aufgabe .. schade, dass ich mich im Bereich SQL-Injection zurück gezogen habe und nach XX Seiten und Dumps, diese "Szene" entgültig verlassen habe..

Ein Tipp.. lasst es lieber sein, googlen hilft nichts.. ausser ihr habt 3 Jahre Erfahrung mit MYSQL und deren Lücken ..

PS: Scannt mal nach offenen Ports.. wird siiiiiiiiiiiiiiiiiiicher was dabei sein.

[Badboy12]

Des ist mir neu :-D
Meines Wissens hatte Knuddels absichtlich die Webserver manuell kompiliert um den Server-Namen selbst festzulegen.

So steht/stand als Server-Software immer KWS.

Wegen der veralteten Software: Ich glaube wenn man nach Exploits & Co sucht, findet man garantiert welche für de alten Mist.

Gogle-Hacking ist lustig, wenn man kuriose dinge findet xD

http://213.61.5.153080/ad/

http://knuddelsweb.de/forum/cgi-bin/ultimatebb.cgi

Mir ist aufjefallen, die haben doch glaube ich eine IP-Range von /16 oder?!
Weil, die haben/nutzen anscheinend zig Webserver..

Auf einem ist nen aktuelleres Tomcat am laufen: Apache Tomcat/6.0.20

[DMW007]

Wer damit was anfangen kann, kann auch selber die eingesetzte Version raus finden.

Sicher, aber in letzter Zeit sowieso so viel OT gepostet wird dachte ich mir ich poste mal was interessanteres, vielleicht ermutigt es den ein oder anderen sich damit zu beschäftigen.

Meines Wissens hatte Knuddels absichtlich die Webserver manuell kompiliert um den Server-Namen selbst festzulegen.

So steht/stand als Server-Software immer KWS.

Ja, aber nur auf der Hauptseite (Chat - Knuddels.de).
Knuddels hat mehrere Server (z.B. einen eigenen für den Shop), auf denen Knuddels nicht so sorgfältig war.
Teilweise wird die Version im Header jedes normalen Requests gesendet, teilweise kann man sie nur auf Fehlerseiten sehen.
Knuddels hat auf manchen Servern auch mehrere Webserver installiert, den zweiten meist auf Port 8080.

Exploits gibt es einige, gerade für die wirklich alte Version 2.0.51 auf dem Shopserver, z.B. einen remote DDoS-Exploit für <= 2.0.52.

[rVs14]

xtp57:

Ist nicht wirklich brauchbar was dort geposted wurde, die Versionen sind zwar relativ veraltet, aber immernoch so weit abgesichert, dass diese mit irgendwelchen tollen public exploits ausgenutzt werden können.
Der angesprochene DOS (kein DDos) exploit wird dort auch nicht funktionieren, denn es man kann den exploit auch fixxen ohne eine neue Webserver Version zu compilen.
Das Problem bei der Sache ist wahrscheinlich, dass die Webserver wirklich selber compiled sind und darum schwer zu updaten, denn um man muss noch einige "Plugins" (Keine Ahnung wie man das nennen soll) mit eincompilen, damit Tomcat + Apache laufen können.

Also wie gesagt, nichts besonderes, da hast du nicht wirklich arbeit reingesteckt.
Mit etwas mehr aufwand, hättest du auch noch ganz andere Sachen gefunden (Zum Beispiel das JIRA, den SVN, usw. usw.) Es gibt noch viel was ihr hier noch finden müsst, es sind schließlich 14 Server (keine 65k+).


MfG xtp57.


PS: Achja, nochwas.

-Zitat von ta1lor-

ta1lor: Mir ist aufjefallen, die haben doch glaube ich eine IP-Range von /16 oder?!
ta1lor: GHAHAHAHAHAHA
ta1lor: klaaaaaaaaaaaaaaaaar hat knuddels das
ta1lor: iwas bei 60000 hosts passen da rein

-Zitat Ende-

[DMW007]

Im ersten Satz fehlt wohl das 'nicht'.
Klar kann man Exploits auch ohne Update fixxen (in dem Fall z.B. mit iptables Regeln).
Ich hab aber wie gesagt auch keinen getestet, da ich atm keinen dafür geeigneten Testserver/VPN habe und deswegen auch nicht extra einen kaufen wollte.
Dass es eine revolutionäre Entdeckung ist habe ich auch nie behauptet.
Den Headereintrag des Shopsers hab ich zufällig bemerkt, als ich die uralte Apache-Version gesehen habe fiel mir ein dass es dafür ein paar Exploits gibt.
Daraufhin habe ich mir noch ein paar andere Server angeschaut und mir gedacht, dass das ganze doch einen Thread wert wäre.

[Mentos]

Ganz ehrlich: Das ist doch mal eine neue erkenntnis, die public gemacht wurde. Die Leute, die das schon wussten, es noch nicht public gemacht haben und jetzt rumheulen sind egoistische Großmäuler - meckern ist nicht schwer, etwas leisten und es zu veröffentlichen, verlangt mehr ab.
Dementsprechend ein Danke, an DMW007.

[Diebspiel]

Knuddels ist seit ~ 13 Jahren online und wurde noch nie selbst Opfer eines hier angesprochenen Angriffs.

Und jetzt sollen es hier welche aus der Szene schaffen, wovon 99,5% nicht mal wissen was eine Serversoftware ist, geschweige denn, wie man Zero-Day-Exploits darauf anwenden kann?

In diesem Punkt kann ich 3lit nur zustimmen

// Nur am Rande, Knuddels ist/war Europas größte Flirtcommunity.. so eine große Seite ist nicht geheim.