Заливка шелла или LFI

22.04.2016, 23:24

zifus

Познающий

Регистрация: 15.08.2015

Сообщений: 83

С нами: 5655926

Репутация: 0

Здравствуйте!! Нужна помощь, а то я уже все не могу, руки опускаются...

Во общем суть такая! Есть доступ к PMA FILE_PRIV=no ,но LOAD DATA LOCAL INFILE работает читаю файлы.Еще phpinfo.php есть. На сервере есть два сайта, один файловый хостинг картинок, а на втором стоит сайт на html c HESK есть доступ к админке. Есть там загрузчик файлов приведу его

.SpoilerTarget" type="button">Spoiler: Кусок кода с HESK c загрузки

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][/COLOR]

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]/* --> Attachments */
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'use'[/COLOR][COLOR="#007700"]] = empty([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_attach_use'[/COLOR][COLOR="#007700"]]) ?[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];
if ([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'use'[/COLOR][COLOR="#007700"]])
{
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_number'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]intval[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]hesk_POST[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'s_max_number'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]) );

[/COLOR][COLOR="#0000BB"]$size[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]floatval[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]hesk_POST[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'s_max_size'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'1.0'[/COLOR][COLOR="#007700"]) );
[/COLOR][COLOR="#0000BB"]$unit[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]hesk_htmlspecialchars[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]hesk_POST[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'s_max_unit'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'MB'[/COLOR][COLOR="#007700"]) );

[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_size'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]hesk_formatUnits[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$size[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$unit[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] = isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) && ![/COLOR][COLOR="#0000BB"]is_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) &&[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) ?[/COLOR][COLOR="#0000BB"]explode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]','[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]preg_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'/[^a-zA-Z0-9,]/'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) ) ) : array();
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]array_diff[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]], array([/COLOR][COLOR="#DD0000"]'php'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'php4'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'php3'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'php5'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'phps'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'phtml'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'shtml'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'shtm'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'cgi'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'pl'[/COLOR][COLOR="#007700"]) );

    if ([/COLOR][COLOR="#0000BB"]count[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]]))
    {
[/COLOR][COLOR="#0000BB"]$keep_these[/COLOR][COLOR="#007700"]= array();

        foreach ([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] as[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"])
        {
            if ([/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]) >[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])
            {
[/COLOR][COLOR="#0000BB"]$keep_these[/COLOR][COLOR="#007700"][] =[/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"];
            }
        }

[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$keep_these[/COLOR][COLOR="#007700"];
    }
    else
    {
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] = array([/COLOR][COLOR="#DD0000"]'.gif'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.jpg'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.png'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.zip'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.rar'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.csv'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.doc'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.docx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xls'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xlsx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.txt'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.pdf'[/COLOR][COLOR="#007700"]);
    }
}
else
{
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_number'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_size'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]1048576[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]]=array([/COLOR][COLOR="#DD0000"]'.gif'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.jpg'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.png'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.zip'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.rar'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.csv'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.doc'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.docx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xls'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xlsx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.txt'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.pdf'[/COLOR][COLOR="#007700"]);
}
[/COLOR][/COLOR]

Там идет проверка на php расширение, Может кто знает как обойти.

Самое интересное файловый хостинг картинок, туда залил шелл через подмену tamper data, но залился он как JPEG Привожу пример

.SpoilerTarget" type="button">Spoiler: код загрузки

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]imagecopyresampled[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$dest[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]round[/COLOR][COLOR="#007700"](([/COLOR][COLOR="#0000BB"]max[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"])-[/COLOR][COLOR="#0000BB"]min[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"]))/[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]),[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$w[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$w[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]min[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"]),[/COLOR][COLOR="#0000BB"]min[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"]));
if ([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"][/COLOR][/COLOR]

.SpoilerTarget" type="button">Spoiler: index.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#0000BB"]setcookie[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'ref'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$ref[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]()+[/COLOR][COLOR="#0000BB"]3600[/COLOR][COLOR="#007700"]*[/COLOR][COLOR="#0000BB"]24[/COLOR][COLOR="#007700"]*[/COLOR][COLOR="#0000BB"]30[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'/'[/COLOR][COLOR="#007700"]);
}
switch ([/COLOR][COLOR="#0000BB"]$q[/COLOR][COLOR="#007700"])
{
case[/COLOR][COLOR="#DD0000"]'login'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/login.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'faq'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/faq.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'price'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/price.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'rules'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/rules.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'feedback'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/feedback.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'forgot'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/forgot.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'registration'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/registration.php'[/COLOR][COLOR="#007700"]);
break;
default:
include([/COLOR][COLOR="#DD0000"]'tpl/about.php'[/COLOR][COLOR="#007700"]);
}
include([/COLOR][COLOR="#DD0000"]'tpl/footer.php'[/COLOR][COLOR="#007700"]);
;echo[/COLOR][COLOR="#DD0000"]'   
FHM v2.2
'[/COLOR][COLOR="#007700"];[/COLOR][COLOR="#0000BB"]?>[/COLOR][/COLOR]

Помогите, подтолкните меня....

𝕏 Twitter Reddit Telegram Копировать ссылку

Создать сделку

Мои сделки

Сделка