ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   Заливка шелла через админку, способы. (https://forum.antichat.io/showthread.php?t=279995)

sovok 21.06.2011 23:20

Очень часто бывает, что админка есть, а залить не удаётся, т.к. *.php, а часто разрешается только *.jpg.

Какие способы есть? Уже битый час убиваюсь, не могу(

Пробовал с перехватом, через Tamper Data, не получается.

Ha_Vi 22.06.2011 00:43

Тоже интересно

Melfis 22.06.2011 00:51

Это смотря где(клиент/сервер) происходит проверка. Если на клиенте, то можно сформировать посыл данных или банально в фаербаге/стрекозе поставить точку останова на месте проверки на расширение и изменить результат проверки. Если на сервере, то там уже несколько способов проверки и обхода:

может проверяться регэкспом на первое вхождение /\.jpg/ - поставить image.jpg.php

может проверяться функцией пхп на тип файла - открыть гифку блокнотом и вписать код пхп и поставить расширение .php

это я описал то, что можно пройти, есть и другие способы.

Expl0ited 22.06.2011 01:07

Способов может быть миллион, а может и не быть вообще.

К примеру совсем недавно, попался мне сайтик, в админке была только загрузка картинок, которая проверялась все возможными методами, и обойти фильтрация на расширение не удалось, темплейты править нельзя было, но можно было указать путь к файлам (таким как header.tpl, footer.tpl) и как выяснилось эти файлы просто подключались функцией include(), мне осталось всего лишь залить картинку с шелом, и в настройках указать путь к картинке, и шелл был успешно выполнен.

Так же попадались случаи, когда при загрузки картинки, скрипт проверял всего лишь mime тип на белый список, и достаточно его было просто сменить оставив расширение.

Так же были случаи когда была криво написана проверка, т.е. сначала файл копировался на сервер, а потом только проверялось его расширение/содержимое, и если файл не картинка вываливалась ошибка, но файл не удалялся.

И вообще, вариантов может быть очень много, каждый случай может быть уникальным, а так же возможности может вообще не быть. Так что будьте внимательны при изучении панели администратора.

kreigtrag 24.06.2011 18:44

А права какие?

Vald 28.06.2011 14:49

Как-то я поимел довольно жирный сайт из за кривой настройки апача.

Файл залитый в виде shell.php.jpg выполнился как php без каких-либо дополнительных действий.

А так нужно смотреть как там заливка выглядит. Допустим, если заливать можно только через редактирование текста, то, вероятнее всего, там будет какой-нить TinyMCE, через который не зальешь.

Но практически в любом сайте есть самописные формы аплоада для баннеров, вложений и прочего. Вот через них и нужно пробовать.

denis_ok 28.06.2011 21:00

Есть сайт Wordpress 3.0.1 права автора, заливка через стандартный редактор и публикация записей разрешены, вытащил хеш админа, но над подбором работаю уж 3 сутки. можно ли как то залить шелл?

SEWERN 29.06.2011 01:29

Цитата:

Сообщение от denis_ok
Есть сайт Wordpress 3.0.1 права автора, заливка через стандартный редактор и публикация записей разрешены, вытащил хеш админа, но над подбором работаю уж 3 сутки. можно ли как то залить шелл?

проверь свой хеш тут cmd5.ru , мне он всего помогал с WP.

denis_ok 29.06.2011 17:07

Цитата:

Сообщение от SEWERN
проверь свой хеш тут cmd5.ru , мне он всего помогал с WP.

спасибо проверил но результат нулевой, буду думать что делать дальше, дыр на WP 3.0.1 в паблике мало .

Melfis 30.06.2011 12:21

Цитата:

Сообщение от denis_ok
Есть сайт Wordpress 3.0.1 права автора, заливка через стандартный редактор и публикация записей разрешены, вытащил хеш админа, но над подбором работаю уж 3 сутки. можно ли как то залить шелл?

Дык ещё же есть заливка через мускул, если есть права на файловые операции, кавычки офф и ты знаешь полный путь до веб папки.

denis_ok 30.06.2011 20:26

Слишком много если, хеш получен через SQL injection vulnerability in do_trackbacks() все подозрительные запросы не проходят.

Melfis есть еще идеи?

В общем повторюсь и соберу все данные в кучу может кто нибудь что нибудь подскажет.

Дано:

Установлен Wordpress 3.0.1, хостинг sweb, есть права автора, то есть есть доступ к заливке и публикации материалов, плагины темы и прочее редактировать нельзя. XSS не предлагать, так как двиг стоит отдельно от основного сайта и не используется, там дыру обнаружить не удалось.

Хеш админа admin:$P$BPdY1OqdhlKnwjCJA7x1cOEzOwV.IS/

Необходимо: залить шел.

Буду рад любой помощи.

Melfis 01.07.2011 00:45

оффтоп:

заплати за брут хеша, если под одмином будут конечно права на заливку тем и т.п.

sovok 06.07.2011 18:46

вот конкретный пример:

http://gyazo.com/36decada4f67f41ae52a6d7534766dda.png

пробовал много вариантов, толку нет.

sovok 06.07.2011 19:10

ещё, заливается вида shell.php.gif, например, но перейти нельзя, пишет:

Изображение «http://www.сайт/banners/shell.php.gif» не может быть показано, так как содержит ошибки.

d1v 07.07.2011 01:52

Цитата:

Сообщение от sovok
ещё, заливается вида shell.php.gif, например, но перейти нельзя, пишет:
Изображение «http://www.сайт/banners/shell.php.gif» не может быть показано, так как содержит ошибки.

ну конечно. ты ведь заливаешь изображение, оно и обрабатывается как изображение. зато если есть инклуд, его можно проинклудить. или попробуй в конец картинки добавить код и посмотри обработается ли он.

sovok 07.07.2011 02:24

Цитата:

Сообщение от d1v
зато если есть инклуд, его можно проинклудить

примеры, если можно)

d1v 07.07.2011 02:43

Цитата:

Сообщение от sovok
примеры, если можно)

примеры инклуда? извини, в текстовиках не храню таковых.

я имел ввиду, что залитую картинку с кодом, при наличии инклуда на сайте ты можешь выполнить.

http://forum.antichat.su/showthread.php?t=232773

XAMEHA 07.07.2011 06:53

Какая админка? Или приведи код обработчика. Вариантов-много, но для каждого уязвимого кода.

sovok 07.07.2011 17:33

Вот, например, про таком запросе, мне не разу не удавалось зайти, где же данные хранятся, если не в бд?

http://gyazo.com/2a65037a32dad38a7631138d07305541.png

Melfis 07.07.2011 17:36

Цитата:

Сообщение от sovok
Вот, например, про таком запросе, мне не разу не удавалось зайти, где же данные хранятся, если не в бд?
http://gyazo.com/2a65037a32dad38a7631138d07305541.png

Либо в бд, либо локально в той же папке в файле .htpasswd в закодированном виде. А называется это HTTP Based Authentication

sovok 07.07.2011 17:57

Цитата:

Сообщение от Melfis
Либо в бд, либо локально в той же папке в файле .htpasswd в закодированном виде. А называется это HTTP Based Authentication

на сколько я понимаю, в бд такие данные хранятся очень редко, а доступ к .htpasswd получить сложно(

Melfis 07.07.2011 17:58

На практике такие данные хранятся часто в бд. А вообще всё зависит от размера сайта. Если крупный маг какой-нить, то у него будет куча манагеров со своими правами и никто не будет давать им одинаковый доступ. Как-то так.

winstrool 07.07.2011 23:51

Цитата:

Сообщение от Melfis
На практике такие данные хранятся часто в бд. А вообще всё зависит от размера сайта. Если крупный маг какой-нить, то у него будет куча манагеров со своими правами и никто не будет давать им одинаковый доступ. Как-то так.

чушь!!!, сколько мне такое дело поподалось, почти всегда лежало в .htacces или .httpasswd, причем в открытом виде, и то что в захешированом виде, это редкое исключение, а вообщем эти данные доступны только при локальном инклуде! чтоб эти данные были в БД, вообще ниразу не припомню, хотя практически это есть!

P.S.: я про "HTTP Based Authentication"

sovok 11.07.2011 19:28

Цитата:

Сообщение от XAMEHA
Какая админка? Или приведи код обработчика. Вариантов-много, но для каждого уязвимого кода.

ок, а есть ли варианты видео залива шелла через хоть какие-нибудь админки, не стандартным способом? Т.е., с пропиской кода в конце картинки и т.д.

winstrool 14.07.2011 01:36

Пример того как сегодня получилось залить шелл.

Многие знают что в админках есть визуальный редактор что то вроде миниворда), так вот просмотрев линк дириктории, на прямую обратился к скрипту

Цитата:

Сообщение от None
http://*******/admin/includes/editor/filemanager/browser/default/connectors/test.html

и через куки просмотрел что он шлет на серв, слал все файлы кроме php, ну может еще какие ограничения стояли.

в итоге в куках задал название файла, для эксперимента создастся такой или нет "1.htaccess", повезло, файл создался), тут же проверил создаются файлы с росширением "*.pphhttmmll" и такой создался).

теперь я отправляю куки для создания файла ".htaccess" c содержимым

Цитата:

Сообщение от None
AddType application/x-httpd-php .pphhttmmll

а затем создаю сам файл 123.pphhttmmll

шелл залит!

главное для таких действий чтоб файла .htaccess небыло в заливаемой папке!


Время: 14:58