ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Во время посещения hostingkartinok.com - хостинга картинок, я наткнулся на сервер ***, предлагающий мне заработать денег. А почему бы не заработать?

Начинем зарабатывать:

*** - Apache/2.2.15 (CentOS) Server - PHP/5.3.3

Реф-ссылки:

http://***/ox/www/delivery/ck.php?oaparams=2__bannerid=46__zoneid=7__cb=0b76e 8e599__oadest=http%3A%2F%2Fwww.metod-deneg.com%2Fic%2Fhkart%2F%3Futm_source%3Dhostkart% 26utm_medium%3Dbanner%26utm_campaign%3Deuropa80

http://***/ic/hkart/?utm_source=hostkart&utm_medium=banner&utm_campaig n=europa80

Серверная страница:

http://***/ - Apache 2 Test Page

OpenX Panel(Открывается при переходе на http://***/ox/):

http://***/ox/www/admin/index.php

http://***/ox/www/delivery/ - Мы имеем листинг файлов c указанием размера каждого файла, и мы можем попробовать найти эти скрипты в интернете, если это публичная партнерка и т.п.:

http://***/ox/www/delivery/crossdomain.xml:

robos.txt:

На этом я начинаю догаыватся, что OpenX - не система управления сервером, как cPanel, а что-то другое. Скачиваем, только вот версию мы пока не знаем, однако файлы размещены 12-Sep-2012, и мы можем приблизительно выбрать нужную нам версию.

Находим инфу на рдоте и античате, однако скорее всего эксплоиты не актуальны:

https://rdot.org/forum/showthread.php?t=70

/threadnav150144-3-10.html

OpenX.org

И неразработанную уязвимость:

https://rdot.org/forum/showpost.php?p=27517&postcount=8

Нам нужно узнать версию. Так, заходим на http://download.openx.org/, имеем версии от 2012-05-08 и 2012-09-19, нам подходит первая. Скачиваем.

Уже лучше, у нас есть исходники. Сразу-же замечаем файл RELEASE_NOTES.txt.

Так: http://***/ox/RELEASE_NOTES.txt

What's New in OpenX 2.8.10

----------------------------

* Release date: 2012-09-12

Не угадали Скачиваем OpenX 2.8.10. У нас имеется последняя версия, похоже придется искать уязвимости самому.

Что мы имеем? Руки, сервер и 48,9 МБ исходников.

В некоторых файлах код очень кривой, значит где-то поблизости есть уязвимость:

Получение хоста:

Примерно одинаковых 100 Кб функций находится практически во всех файлах. Попробуем найти моменты, где используется функция OX_getHostName():

Вроде-бы ничего полезного нет, исходя из того, что версия PHP 5.3.3. Основная часть кривого кода распологается в OpenX/www/delivery, востанавливаем форматирование файлов с помощью http://beta.phpformatter.com/. Мгновение - и перед нами читабильный код.

Копаем дальше, находим логи:

http://***/ox/var/debug.log

http://***/ox/var/install.log

http://***/ox/var/cache/ - Полная папка с чем-то.

Имя БД: ox

Пользователь: ox

Пароля нет, но пробуем подключится удаленно:

Увы. Придется иследовать объемные исходники огромной CMS последней версии, делать больше нечего. N-Дней исследований дали свои труды. Сразу скажу, что я исследовал много файлов и писать обо всем не имеет смысла. Искать что-то в таком объеме файлов - полное безумие, и я решил попробовать найти что-то нестандартное с помощью grep.

К истине уже ближе.

Параметр проходит через stripslashes, и проблем с магическими кавычками быть не должно, в крайнем случае можно самим наслешировать параметр.

Если мы отправим _GET[n]=data, то мы можем прогнать через unserialize значение куков OAVARS[data], но при условии, что OAVARS в конфиге не изменено.

Чем это нам поможит? Попробуйте выполнить этот код:

Он выведет abcd, а без unserialize ничего не выведет. Выполняем print_r(get_declared_classes()) - сейчас у нас подключен только phpSniff. Стоп, а что за phpSniff?

phpSniff Располагается в /plugins/deliveryLimitations/Client/lib/phpSniff/, при этом он распаковывается позже, а не нахоится там сразу-же в стандартных исходниках.

Если мы исследуем OpenX, то мы будем исслеовать и phpSniff.

index.php:

phpSniff:

IP:

И самое главное:

Мы можем создавать пустые файлы на сервере, а так-же удалять то, что нам нужно:

Теперь нам нужно раскртие пути, в phpSniff установлено E_ALL(index.php?UA[]), только вот display_errors на удаленном сервере похоже что off.

Хитрим:

Имеется раскрытие пути, смотрим путь - http://***/ox/www/admin/plugins/openXWorkflow/application/bootstrap.php

Имеем /home/ox/

Остается только удалить что-то полезное, что даст нам переустановить OpenX и залить шелл, возможно успев сохранить конфиг т.е. не приченяя вред ресурсу.

Файл /home/ox/var/INSTALLED отвечает за это, однако удалить его оказалось недостаточно.

Теперь, ВНИМАНИЕ, что бы запустить инсталяцию следует:

• Удалить файл INSTALLED
  
• Создать файл UPGRADE
  
• Удалить файл default.conf.php
  
  В нем находится:
  
  
  PHP код:

  PHP:
[COLOR="#000000"];[COLOR="#0000BB"]

[/COLOR];*** DO NOT REMOVE THE LINE ABOVE ***

realConfig="127.0.0.1"

[/COLOR] 

• Прописать в hosts: *.*.*.* asdf
  
• Перейти на http://asdf/path/to/openX/install.php?action=welcome

Если вдруг во время переустановки у вас не хватит прав на каталоги , можно вернуть всё обратно по этой-же инструкции, + подложив за место default.conf.php пустой файл.

Идем дальше, нам необходимо создать базу MySQL, только вот к этому хосту мы не имеем доступа, и нам придется указывать наш удаленный хост, только не забудте права обрезать

Перекачка данных на базу займет длительный объем времени.

Совершаем действие в ещё нескольких пунктах, минута и мы в админке.

Заливаем шелл по этой инструкции от (dm) - /showpost.php?p=1629085&postcount=2

Чистим каталог var, где находится asdf.conf.php, а вот главный конфиг остается незатертым.