ES File Explorer lässt Web Server laufen

R

rudolf

Lexikon
Threadstarter
So, ich hab es mal ausprobiert.

Gerät A:
Es File Explorer 4.1.8.2.2 runtergeladen, installiert, und gestartet.
ES File Explorer File Explorer 4.1.8.2.2 APK Download by ES Global - APKMirror
Bei den erweiterten Einstellungen im Wlan meine IP nachgeschaut: 192.168.2.110
Den Pfad der Speichers im ES File Explorer nachgeschaut: /storage/sdcard0/
Im Hauptverzeichnis des Speichers eine Datei test.txt erstellt.

Gerät B:
Firefox gestartet und als URL "192.168.2.110:59777/storage/sdcard0/test.txt" eingegeben
und bekam den Inhalt von test.txt angezeigt :)

Hacken kann manchmal so einfach und dennoch unterhaltsam sein!

Hinweise :
Geräte A und B müssen im gleichen Wlan sein.
Gerät B kann auch ein PC sein.
Die IP und der Pfad werden bei euch anders sein, guckt sie wie oben nach.
Ihr könnt das auch erstmal mit einem Gerät testen, das geht auch, einfach alles auf Gerät A tun.
Ihr könnt auch eine andere Version von ES testen, ich wollte einen schnellen Erfolg, hab also eine von mitte 2018 gewählt. Es soll bis Versioné 4.1.9.7.4 (aktuell) gehen.

UPDATE: Es geht so auch mit 4.1.9.7.4
 
Zuletzt bearbeitet:
R

rudolf

Lexikon
Threadstarter
Und was soll das jetzt? Soll ich Twitter nutzen? Was für eine sinnfreie Idee!
Und ausserdem, das Problem ist noch in der aktuellen Version im Playstore. Ich würde die sofort rausnehmen, wenn ich keine sofortige Lösung dafür hätte. Aber deine Vorstellung von Sicherheit ist wohl anders als meine.
 
nik

nik

Senior-Moderator
Teammitglied
Ich denke, du hast den Beitrag von @MrT69 nicht verstanden.

Er hat lediglich geschrieben, dass es zur Lücke im ES Explorer inzwischen eine CVE gibt und wem das zu verdanken ist (nebenbei hat er noch die Empfehlung für Twitternutzer ausgesprochen, dass man dem SIcherheitsforscher generell folgen kann).
Mehr nicht.
 
MrT69

MrT69

Stammgast
@rudolf

Elliot Alderson hat diese Lücke entdeckt. Ers ist ein Sicherheitsanalytiker.

Das von mir sollte auch nur als Ergänzung zu Deinem Beitrag sein. War kein Wort davon dass das irgendwas mit Security zu tun hat.
 
H

hofi001

Erfahrenes Mitglied
Hallo

Funktioniert auch bei Version 4.1.9.5.2 und nach Update 4.1.9.9. aus dem Play Store.

Es geht aber nur, mit dem genauen Datei Namen.

So, was kann jemand jetzt genau mehr machen?

MFG
 
H

hofi001

Erfahrenes Mitglied
die neuerste Version bei mir, laut Playstore... 4.1.9.9 vom 17.01.2019.

Hier ist nichts behoben... und kurz voher wie oben geschrieben ausprobiert.

MFG
 
Oben Unten