Неделю таму назад попался сайт с локальным инклудом в cgi сценарии. Казалось на этом при раскладе ,что можно читать passwd и даже httpd.conf , можно забить, но я не стал.

Оказалось ,что я не просто могу читать , но и перемещаться по директориям на сервере :

Поехали дальше. Тут сразу приходит в голову сделать инклуд через логи родного апача, но это при хорошом раскладе.Это как я сказал не получилось.

Не много забив на этот ресурс, я опять вернулся к нему!
Изучив конфиг апача стало ясно , что есть субдомен.
Субдомен оказался домашней страницей Василия Пупкина (директор нефтяного комплекса)! И тут я увидел линк на его форум, попал на Yabb. Мои дальнейшие мысли ,конечно же прочитать через ранее найденный инклуд конфиг админа , где находиться логин и пароль от админки форума.

Хм пароль попался в страном виде:

Слив себе на винт исходники форума, все стало понятно! Запускаем PasswordsPro -> жмем F7 -> вставляем ранее полученный хеш -> и кликаем Base64-Нех , получаем чистый MD5.

Пароль получен, но как я понял , ребята из конторы Yabb форума, хорошо все придумали! Попробовал записать свой шелл в папку атача форума, но увы шелл не выполнился как php(этого я и ожидал).!!!

Опять забив на день, я вернулся к изучению сервера.
Не хотелось забивать на форум, слив на винт все varsы .юзверей форума и переведя их в md5 , кинул на перебор.

Сам этим временем загрузил на своем шелле nmap.
Стандартный набор открытых портов, но одно "23" порт был открыт. Прителнетившись к 23 , получил предложение ввести логин :admin и меня попросили пройтись лесом-
Начал опять смотреть директории на сервере и нашел админку в домашней директории сайта в котором нашел локальный инклуд. Написана все было на php , от сюда сразу идея почитать конфиг данной админки, тут как всегда попался config.php но внутри вместо dbuser и dbpass , я нашел две строчки $login и $pwd

После перебора получил и логин и пароль (очень сложные).

Зашел в админку и у меня на лице появилась улыбка
Вкладка Upload Images, быстрым кликом я попал в раздел загрузки , но опять облом. Загрузка осуществляется через ftp сценарий , тут думаю все понятно ,надо знать логин и пасс к ftp. Ж( Пробую приконектиться к 21 ,но опять облом , фильтруется.
Да , думаю 23 открыт для всех , а вот 21 только для своих( хотя 23 наиболее не безопасное решение для админа)!!! В админки я нашел ссылку на phpinfo , по нему там стояла линуха с ядром 2.4 , при хорошом раскладе звезд на небе рут гарантирован, но читаем дальше.

Опять поиски по серверу и удача !!!!!!!!!!! Попался .htpasswd, а внутри много вкусного, акки , но не понятно к чему. Новая идея осенила мою голову, telnet host.com 23 !!
И ввел первый логин из htaccess и тут уже я не пошел лесом, а мне задали вопрос , введите номер рабочего места для данного логина Пример:1312.4235.11. еБ . ТОП ТОП., не одно так другое. Но опять выход был найден в ранее найденой админки , на главной страницы красовались email админов и редакторов + 1312.4235.11 вот примерно такие наборы чисел.
Опять telnet и уже не лес , а солнечное поле!

Далее был залит шелл, затем сплоит и root!/////
ВСЕМ БИЗНЕСМЕНАМ ПРИВЕДДДД!