ANTICHAT — форум по информационной безопасности, OSINT и технологиям

[Цель]
www.holm.ru
Бесплатный хостинг с поддержкой php.

[Уязвимость]
Возможность обхода разграничения доступа на уровне веб-сервера апача(httpd.conf) с помощью модуля php для несанкционированного выхода из веб папки.

[Реализация]
1. Регистрируем сайт, в любой зоне с свободным именем. Тем самым получаем веб-директорию для создания своего ресурса, с полным набором прав только на эту папку.
2. Через ftp или ssh заливаем любой пхп шелл в нашу директорию, например phpRemoteView
или релиз от madnet c99madshell.
3. Используя функции php(opendir, readdir, dir и т.д.) просмотра и перехода директорий выходим выше выделенной веб папки нашего сайта.

[Результат]
В результате эксплуатации уязвимости получаем возможность выхода из выделенной сервером веб папки с правами предоставленными апачем для хостинга(virtualhost). Существует возможность просмотра корневой директории (./), а так же просмотра остальных директорий и файлов, выполнения определенного набора системных команд, скачивания и закачкой файлов с правами virtualhost. Например удалось вытащить файлы passwd, pwd.db, а так же настойки httpd.conf.
Небольшое уточнение: практические исследования проводились на домене h17, но уязвимость присутствует на всех бесплатных доменах хостинга.

[ЗЫ]
Если недостаточно хорошо написал сильно не пинайте! Готовлюсь к написанию статьи