 |
|
23.11.2020, 10:28
|
|
Новичок
Регистрация: 17.11.2020
Сообщений: 11
С нами:
2888434
Репутация:
0
|
|
Пролез все таки в админку Dle Engine 9 (цель заливка web shell) , разрешил загрузку php , файл принимает но не разрешает загрузку скрин ниже:
Пошел значит копать дальше, нашел редактирование шаблона, имеет не понятное мне расширение .tpl возможно ли внедрение shell кода в данный шаблон? (по логике выбрал main.tpl кажется туда надо вносить код если что и вносить)
p.s.
может имеются другие способы заливки шелла через админку dle ?
|
|
|
23.11.2020, 11:58
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 577
С нами:
9679729
Репутация:
171
|
|
Brett Hagen сказал(а):
возможно ли внедрение shell кода в данный шаблон?
Судя по тому, что внутри есть html, то да, можно попробовать.
|
|
|
|
23.11.2020, 18:00
|
|
Новичок
Регистрация: 17.11.2020
Сообщений: 11
С нами:
2888434
Репутация:
0
|
|
Pernat1y сказал(а):
Судя по тому, что внутри есть html, то да, можно попробовать.
Интересно, а каким образом ? Что то я перелазил весь гугл, подставил через {php}{/php} в код шелл как пишут на хабре не работает Пробовал через {include file="shell"} как в старой статье на antichat тоже не работает . Если кто то знает как внедрить в tpl web shell plz откликнитесь.
|
|
|
|
24.11.2020, 01:53
|
|
Новичок
Регистрация: 23.03.2007
Сообщений: 2
С нами:
10071394
Репутация:
0
|
|
А может попробовать другим путем пойти?
Например сплойтом:
DataLife Engine - 'preview.php' PHP Code Injection (Metasploit)
DataLife Engine - 'preview.php' PHP Code Injection (Metasploit). CVE-2013-7387CVE-89662CVE-2013-1412 . remote exploit for PHP platform
www.exploit-db.com
|
|
|
|
24.11.2020, 15:03
|
|
Новичок
Регистрация: 17.11.2020
Сообщений: 11
С нами:
2888434
Репутация:
0
|
|
polunochnik сказал(а):
А может попробовать другим путем пойти?
Например сплойтом:
DataLife Engine - 'preview.php' PHP Code Injection (Metasploit)
DataLife Engine - 'preview.php' PHP Code Injection (Metasploit). CVE-2013-7387CVE-89662CVE-2013-1412 . remote exploit for PHP platform
www.exploit-db.com
К стати да , че то совсем забыл про сплойт этот. Как только пробился в админку озадачился тупо заливкой shell.
спустя 20 минут .....
[*] Exploit completed, but no session was created.
|
|
|
|
24.11.2020, 23:28
|
|
Новичок
Регистрация: 23.03.2007
Сообщений: 2
С нами:
10071394
Репутация:
0
|
|
Brett Hagen сказал(а):
К стати да , че то совсем забыл про сплойт этот. Как только пробился в админку озадачился тупо заливкой shell.
спустя 20 минут .....
[*] Exploit completed, but no session was created.
А ОС какая? Если винда, то надо с eval поиграться, можно попробовать на system или passthru заменить, также может быть проблема с путями (в виндах нужно полный путь указывать).
А так надо на запросы и ответы пристально посмотреть, через бурп например.
|
|
|
|
25.11.2020, 19:42
|
|
Новичок
Регистрация: 23.03.2007
Сообщений: 2
С нами:
10071394
Репутация:
0
|
|
Brett Hagen сказал(а):
Перехватил ответ сервера [Burp do intercept] при загрузке фотки , типо successful итд :
Сохранил и поменял расширения на php файла который webshell и при загрузке которого ответ сервера возвращал ошибку, отправил обратно серверу уже с successful кодом выше и вуаля:
Думаю кто крутой хакер ? Я крутой хакер .... думал я так ровно одну минуту, так как при обновлении сайта файлик на php пропал
[PS]
Редактирование ответа сервера не гарантирует его выполнения на его стороне ? это просто пустая болванка то что мы рисуем в ответе ? или я что то не доделал?
"Редактирование ответа сервера" наверное редактирование запроса. Это правельное направление, по пути к шелу, который вернулся в ответе сервера файл должен лежать, возможно там присутствует пост обработка, натыкался в Drupal на такое, посмотри исходники DLE. Можно также попробовать добавить в имя шелла (в intercept) "../".
Можно кстати ещё попробовать rce на php 2019 года, номер не помню.
|
|
|
|
27.11.2020, 21:04
|
|
Новичок
Регистрация: 17.11.2020
Сообщений: 11
С нами:
2888434
Репутация:
0
|
|
polunochnik сказал(а):
"Редактирование ответа сервера" наверное редактирование запроса. Это правельное направление, по пути к шелу, который вернулся в ответе сервера файл должен лежать, возможно там присутствует пост обработка, натыкался в Drupal на такое, посмотри исходники DLE. Можно также попробовать добавить в имя шелла (в intercept) "../".
Можно кстати ещё попробовать rce на php 2019 года, номер не помню.
Именно редактирование ответа сервера, есть вкладка do intercept которое позволяет редактировать то что сервер отвечает в моем случае при загрузке файла которое я заменил с негативного на успешное и файл отобразился как залитое но потом исчез( в связи с чем возник вопрос do intercept это пустая болванка как редактирование кода в браузере или я что то не учел и не доделал?)
Do intercept:
Негативный ответ сервера на залитый php (который впоследствии будет заменен на позитивный ответ от загрузки png естественно с заменой всех шильдиков от png на php):
И фигак файл на борту:
Казалось бы но при обновлении страницы он пропадает
polunochnik сказал(а):
Можно также попробовать добавить в имя шелла (в intercept) "../".
Можно кстати ещё попробовать rce на php 2019 года, номер не помню.
Расскажи подробнее два этих момента plz
|
|
|
|
27.11.2020, 21:23
|
|
Новичок
Регистрация: 23.03.2007
Сообщений: 2
С нами:
10071394
Репутация:
0
|
|
Brett Hagen сказал(а):
Расскажи подробнее два этих момента plz
При отправки файлов ставим имя что то типо "../img.xxx", если нет защиты, то файл например запишет я не в "www/htdoc/upload", а в "www/htdoc".
GitHub - theMiddleBlue/CVE-2019-11043: (PoC) Python version of CVE-2019-11043 exploit by neex
(PoC) Python version of CVE-2019-11043 exploit by neex - theMiddleBlue/CVE-2019-11043
github.com
|
|
|
|
29.11.2020, 17:27
|
|
Новичок
Регистрация: 17.11.2020
Сообщений: 11
С нами:
2888434
Репутация:
0
|
|
polunochnik сказал(а):
При отправки файлов ставим имя что то типо "../img.xxx", если нет защиты, то файл например запишет я не в "www/htdoc/upload", а в "www/htdoc".
GitHub - theMiddleBlue/CVE-2019-11043: (PoC) Python version of CVE-2019-11043 exploit by neex
(PoC) Python version of CVE-2019-11043 exploit by neex - theMiddleBlue/CVE-2019-11043
github.com
С гита скрипт не работает ну не пробивает короче жертву.
Интересно , а в бюрп можно подменой заголовка залить файл в другую папку ?
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
