Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Заливка шелла на сайты с sql-дырой... (https://forum.antichat.xyz/showthread.php?t=123162)

Dobby007 01.06.2009 18:45
Заливка шелла на сайты при помощи sql-дыры...
 
Ребят... Возникло несколько вопросов пока ломал сайты...
1. Есть сайт с установленной Windows Server 2003. Дыра самая что не на есть "простая". Как вы уже наверное поняли из названия темы это sql-баг. Как бы это смешно не звучало но там стоит: рут-юзер (root@localhost), права на чтение/запись любого файла и ОТКЛЮЧЕННОЕ экранирование кавычек! Ну я сразу начал пробывать заливать шелл. Но проблема в том что я не могу найти путь к сайту. Движков, форумов никаких нет. "[]=" тоже нигде не катит. Попытался подобрать путь к апаче вручную. Первое что попробывал это:
C:\Program Files\Apache Software Foundation\Apache2.2\conf\httpd.conf
Открылся... Прочитал... Нашел следующее:
Код:
DocumentRoot "C:/Program Files/Apache Software Foundation/Apache2.2/htdocs"
Но когда я попробывал прочитать оттуда файл index.php (первый файл на сайте..) оказалось, что его там нет. Потом попробывал записать результат sql-запроса в эту папку - тоже не прошло. Остановился на том что такой папки просто нет там (так как мускул не может создать папку при записи ("INTO OUTFILE"). Следующее, что я сделал, это то, что я попробывал прочитать файл:
C:\Program Files\Apache Software Foundation\Apache2.2\logs\error.log. Оказалось, что последняя операция проводимая с ДАННЫМ АПАЧИ была выполнена 13 ноября 2008 года... И это было - остановка апачи:
Код:
[Thu Nov 13 11:21:19 2008] [notice] Apache/2.2.4 (Win32) configured -- resuming normal operations
[Thu Nov 13 11:21:19 2008] [notice] Server built: Jan  9 2007 23:17:20
[Thu Nov 13 11:21:19 2008] [notice] Parent: Created child process 8996
[Thu Nov 13 11:21:20 2008] [notice] Child 8996: Child process is running
[Thu Nov 13 11:21:20 2008] [notice] Child 8996: Acquired the start mutex.
[Thu Nov 13 11:21:20 2008] [notice] Child 8996: Starting 250 worker threads.
[Thu Nov 13 11:21:21 2008] [notice] Child 8996: Starting thread to listen on port 80.
[Thu Nov 13 11:26:39 2008] [notice] Parent: Received shutdown signal -- Shutting down the server.
[Thu Nov 13 11:26:39 2008] [notice] Child 8996: Exit event signaled. Child process is ending.
[Thu Nov 13 11:26:40 2008] [notice] Child 8996: Released the start mutex
[Thu Nov 13 11:26:41 2008] [notice] Child 8996: Waiting for 250 worker threads to exit.
[Thu Nov 13 11:26:41 2008] [notice] Child 8996: All worker threads have exited.
[Thu Nov 13 11:26:41 2008] [notice] Child 8996: Child process is exiting
[Thu Nov 13 11:26:41 2008] [notice] Parent: Child process exited successfully.
Отсюда выходит, что где-то на диске затаился еще один апачи, который мне и нужен. Но как мне его найти? Никогда не думал, что столкнусь с такой проблемой... Уже смог найти конфиги мускула и даже PHP! Но этот...
Недавно вот пришла в голову еще одна идея - скачать файла реестра и посмотреть там в списке установленных программ. Но они не скачиваются... Даже если на локальном компе пробывать скопировать - пишет, что используются или что-то в этом роде... А там то уж и подавно. Получилось только скачать SOFTWARE.sav, SYSTEM.sav, но они же урезанные до... и списка этих самых установленных программ в них нет.
Может есть какие-нибудь логи Win инсталера, в который он пишет каждое проведенное действие?

2. Есть сайт, но уже с лином :) Как оказалось с теми же правами доступа, что и предыдущий... Но здесь уже проблемма в другом. Когда пробую залить шелл в папку с сайтом мускул пишет следующее:
Can't create/write to file '***' (Errcode: 13)
Прочитал в инете, что данная ошибка вылазит, когда разработчики забывают прописать путь для временых файлов в конфиге мускула (или что-то в этом роде). Как оказалось, в пользу для СЕБЯ =))
Начал искать обходные пути. Остановился на том, что надо получить доступ либо в админку сайта, либо на FTP-сервер. Из /etc/passwd вывел несколько юзеров, с которыми вроде как можно зайти на ФТП с правильно введенным пассом. Проблема узнать эти самые пассы. Начал копать sql-базу в поисках нужного пароля. Вроде табличку админов, с которыми, ПО КРАЙНЕЙ МЕРЕ, вроде можно зайти в админку сайта. Некоторые юзеры даже совпали с юзерами в passwd. Но я так и не смог подобрать пароли к хэшам. Перепробывал уже все онлайн-базы - МОЛЧАТ. Может кто сможет пробить по своим базам следующие пароли за плюсик?
Цитата:
sketler:773b8c1ba60db9135378dad5e2b01354
eduard:b9855d586fffed2e9792ab0914952f86
admin:1da2f71078017ad39c2a80125a40437c
Или может есть более простой способ (кроме брута) узнать пароли к ФТП серваку vsFTPd 2.0.3, имея возможность чтения любого файла? И еще: если брутить (ну это если совсем безвыходная ситуация будет), то с какой лучше программой?
Вообщем обращаюсь ко всем опытным людям... Помогите кто чем может =))

Pashkela 01.06.2009 18:52
По пункту 2 - просто нет прав на запись. Попробуй залить в /tmp/shell.php

Просто ищи папки на запись. Например сканером сайта на папки и файлы

Dobby007 01.06.2009 18:56
Цитата:
Сообщение от Pashkela
По пункту 2 - просто нет прав на запись. Попробуй залить в /tmp/shell.php

Просто ищи папки на запись. Например сканером сайта на папки и файлы
Да... я забыл написать... Находил я уже такие папки. Пишет спокойно в папку с самим мускулом (уже щас пути не помню)... Только что мне это даст? Я выполнить то эти php-скрипты не смогу в любом случае... Или я чего-то не допонимаю?

AlexSatter 01.06.2009 18:58
если на сайте есть локальный инклуд, то вы сможете подцепить этот файл с вашим залитым шеллом, что и требовалось.

Dobby007 01.06.2009 19:06
Цитата:
Сообщение от AlexSatter
если на сайте есть локальный инклуд, то вы сможете подцепить этот файл с вашим залитым шеллом, что и требовалось.
В том и дело - ЕСЛИ ЕСТЬ ИНКЛУД... А если его нет, как, например, в моем случае? :)
P.S. По паролям... тоже тишина?

Pashkela 01.06.2009 19:17
Цитата:
Сообщение от Dobby007
Да... я забыл написать... Находил я уже такие папки. Пишет спокойно в папку с самим мускулом (уже щас пути не помню)... Только что мне это даст? Я выполнить то эти php-скрипты не смогу в любом случае... Или я чего-то не допонимаю?
кроме того, что папка доступна на запись, она еще должна быть доступна из веба, или LFI искать

$n@ke 01.06.2009 19:58
по пункту 1 - кто тебе сказал что там вообще апач?? Win 2003 часто густо работает с IIS. Уточни.

PaCo 01.06.2009 20:35
По пункту 1 - вполне вероятно что апач стоит не на диске C: а на другом + посмотри хедеры ответа что за сервак ну или 404 и смотри действительно ли апач весит(им конечно на 100% верить нельзя), если серваке не 1 сайт а больше - то попробуй просканить соседнии на предмет phpinfo() или ошибок.

B1t.exe 01.06.2009 20:50
да не факт apache там. просто там наверно раньше был apache, а потом перенесли на IIS.
посмотри что-то есть по адресу: c:\inetpub\wwwroot ? :)

попугай 02.06.2009 09:42
Если там IIS - то c:/windows/system32/inetsrv/metabase.xml там конфиг IISa и пути там есть...

durito 02.06.2009 09:47
Цитата:
Сообщение от Pashkela
По пункту 2 - просто нет прав на запись. Попробуй залить в /tmp/shell.php

Просто ищи папки на запись. Например сканером сайта на папки и файлы
в первом случае там стоит винда, а не unix. /tmp/ соответственно не будет.
можно попробовать залить в C:\WINDOWS\Temp\ и то если прав хватит.

по поводу пассов. просмотри там в таблице поля salt нет. пробил по словарям - впустую

SleepShadowWeb 02.06.2009 15:31
sketler - prOcm61707
надеюсь что поможет)

Dobby007 02.06.2009 16:45
Так-с... Отвечу сразу всем и на все =))
Цитата:
да не факт apache там. просто там наверно раньше был apache, а потом перенесли на IIS.
посмотри что-то есть по адресу: c:\inetpub\wwwroot
Нет... Ничего нет... Ни .htaccess, ни index.php...
Цитата:
Если там IIS - то c:/windows/system32/inetsrv/metabase.xml там конфиг IISa и пути там есть...
Такого файла нет. Как и собственно нет файлов:
C:/WINDOWS/system32/inetsrv/MetaBase.bin
C:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\windows\system32\inetsrv\IIRF\WWW\IsapiRewrite4 .ini
c:\windows\system32\inetsrv\httpmib.dll
c:\windows\system32\inetsrv\communityserver.config
(через гуглю нашел)
Вывод, который должен следовать за этим, насколько я понимаю: это не IIS... Если только этот самый IIS не хранит конфигурационные файлы где-либо еще...

Цитата:
По пункту 1 - вполне вероятно что апач стоит не на диске C: а на другом + посмотри хедеры ответа что за сервак ну или 404 и смотри действительно ли апач весит(им конечно на 100% верить нельзя), если серваке не 1 сайт а больше - то попробуй просканить соседнии на предмет phpinfo() или ошибок.
Винда точно одна:
Код:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Standard RU" /noexecute=optout /fastdetect
Диск - один тоже вроде... Поскольку когда я смотрел их файлы реестра (SYSTEM.sav если точнее), я увидел следующую картину:
http://savepic.ru/653031m.png
Т.е. Си - вроде как один, единственный диск в системе...
404 ошибка вообще инннььььтересная (особенно если вчитаться в текст) =))
http://savepic.ru/639719m.png
Я так понял это типо закос под винду (я про ГОЛУБОЙ экран смерти) =))
А по теме: это что какой-то стандартный вид ошибки какого-то серверного ПО или разработчики сайта решили угарнуть? =))

Цитата:
можно попробовать залить в C:\WINDOWS\Temp\ и то если прав хватит.
Прав то хватает на все (в винде с этим не так строго, как, допустим, в линуксе). Только как ими правильно воспользоваться?..

Цитата:
по поводу пассов. просмотри там в таблице поля salt нет. пробил по словарям - впустую
А вот это вопрос конечно интересный... Посмотрел только что - колонки типо SALT, сразу говорю, нет. Но зато есть интересная колонка COMMENT с очень интересными полями =)
Почему интересные? Ну вставьте вот эту муть в любой HEX-редактор и поймете сами =))
Код:
NPP:LOGIN:PASSWD:COMMENT
1:sketler:773b8c1ba60db9135378dad5e2b01354:0xC390C2B32E20C390C5B8C390C2B0C390C2B2C390C2BBC390C2BEC390C2B4C390C2B0C391E282AC
3:eduard:b9855d586fffed2e9792ab0914952f86:0xC390C2B32E20C3903FC3913FC391E2809AC390C2B0C390C2BDC390C2B00xC390C2B32E20C3903FC3913FC391E2809AC390C2B0C390C2BDC390C2B0
Как я понимаю, если есть соль, то решать дальше что-то с паролями - смысла нет?

Цитата:
в первом случае там стоит винда, а не unix. /tmp/ соответственно не будет.
Ну так он вроде и говорит про второй случай.

Dobby007 02.06.2009 17:03
Цитата:
sketler - prOcm61707
надеюсь что поможет)
Огромноооое тебе спасибо! +1

P.S. К FTP к величайшему сожалению пасс не подошел. Теперь пробую админку...

Dyxxx 02.06.2009 20:49
Цитата:
prOcm61707
О_о за расшифровку такого паса действительно стоит сказать спасибо

Dobby007 03.06.2009 18:49
БРРРР... Оказалось, что админка для дибилоидов была сделана... Я дуранул, надо было сразу исходник страницы этой самой админки внимательно изучить... Я открыл файл, увидел, что вроде ссылается к sql-базе... Это все верно... только потом мне выводит только логи и еще какую-то инфу...

Добавлено:
А я вот тут подумал... Если в passwd прописано следующее:
Цитата:
mysql:x:27:27:MySQL Server:/var/lib/mysql:/sbin/nologin
то юзер mysql будет иметь доступ только к этой папке (т.е. /var/lib/mysql)? Если да, то это все объясняет. В частности, что только в нее я могу что-то писать...
P.S. Извиняюсь, если вопрос - тупой =)) В Линуксе - не силен...

$n@ke 03.06.2009 19:07
Цитата:
то юзер mysql будет иметь доступ только к этой папке (т.е. /var/lib/mysql)?
Нет. Любой юзер может писать в папку ,доступную для записи ВСЕМ, тобишь на ней такое: drwxrwxrwx или 0777

Естественно что ограничить доступ к таким папкам можно разными способами, но не забивай голову, и пусть будет так, как я написал выше! =)

Dobby007 03.06.2009 21:44
Это и ежу понятно, что доступ к папке можно ограничить через права =))
Я про:
Цитата:
/var/lib/mysql
Это"домашняя" директория для программы (юзера) с именем mysql или что? Зачем такие пути задаются в пассвде файле?

А по 1 моему пункту... Кто может дать более менее полный список всевозможных серверных программ (ну Апачи, ИИС и т.п.)?


Повторно спрошу: с таким ВИДОМ ошибок 404 никто не сталкивался?
http://savepic.ru/639719m.png
Я имею ввиду, если такие ошибки присуще только какой-то определенной программе, то это бы значительно облегчило мой труд... =))
Заранее спасибо...

Dyxxx 03.06.2009 22:22
ну э не то что-бы я встречалсо с таким, но гугл выдал всего одну страницу с подобной ошибкой, типо этого http://www.saurik.com/id/12312321321

Dobby007 08.06.2009 14:13
Сдал наконец экзамен... =))
Цитата:
ну э не то что-бы я встречалсо с таким, но гугл выдал всего одну страницу с подобной ошибкой, типо этого http://www.saurik.com/id/12312321321
я кстати еще один сайтик встретил... но видимо все-таки это разработчики постарались сделать 404 страницу такой =)
Ребят, еще такой момент ПО 1-МУ ПУНКТУ...
Недавно опять занялся этим сайтом и заметил, что там стоит phpmyadmin. Мне вот че интересно... Как я понял, чтобы все уязвимости (например, из темы http://forum.antichat.ru/thread50669.html) работали (в частности РАСКРЫТИЕ ПУТЕЙ) нужно залогиниться. Собственно, вопрос: можно ли как-нибудь "раскрыть этот самый путь", минуя всякие формы для ввода логина и пароля в БД? Может какой-то другой уязвимостью, где нет .htaccess'а и т.п. вещей?
Если нет, то огромная просьба: может у кого-нибудь есть хорошие базы Mysql5 хэшей? ГЛЯНЬТЕ, ПЛИЗ, ТАМ ЭТИ ПАРОЛИ:
Цитата:
user:password:file_priv
root:*93E2573AAB0F5F12BB6B85DF6796E938955D27D8:Y
roundcube:*56DE8B1B28807C85178BBAC4D7987CF00CB06C1 9 :N
За +. Заранее спасибо!

P.S. Версия phpMyAdmin: 2.11.2.2... По крайней мере, так написано на welcome-странице...

Dobby007 10.06.2009 22:04
Так что... все-таки PhpMyAdmin никак нельзя обойти (без ввода пароля)?
P.S. Че-то даже как-то "стыдно" бросать такой сайт... вроде все есть: и файловая привилегия, и рут, и, даже, отключенное экранирование кавычек... Плюс ко всему эта вся муть на винде стоит. Даже не знаю... По-моему это ооооочень редкое сочетание =))


Время: 18:31