Неделю таму назад попался сайт с локальным инклудом в cgi сценарии. Казалось на этом при раскладе ,что можно читать passwd и даже httpd.conf , можно забить, но я не стал. Оказалось ,что я не просто могу читать , но и перемещаться по директориям на сервере : Code: http://xost.com/view.cgi?page=../../../../../../../../../../../../../home/ Поехали дальше. Тут сразу приходит в голову сделать инклуд через логи родного апача, но это при хорошом раскладе.Это как я сказал не получилось. Не много забив на этот ресурс, я опять вернулся к нему! Изучив конфиг апача стало ясно , что есть субдомен. Субдомен оказался домашней страницей Василия Пупкина (директор нефтяного комплекса)! И тут я увидел линк на его форум, попал на Yabb. Мои дальнейшие мысли ,конечно же прочитать через ранее найденный инклуд конфиг админа , где находиться логин и пароль от админки форума. Code: http://xost.com/view.cgi?page=../../../../../../../../../../../../../Basili/forum/Members/admin.vars Хм пароль попался в страном виде: Code: 'password',"ISMvKXpXpadDiUoOSoAfww" Слив себе на винт исходники форума, все стало понятно! Запускаем PasswordsPro -> жмем F7 -> вставляем ранее полученный хеш -> и кликаем Base64-Нех , получаем чистый MD5. Пароль получен, но как я понял , ребята из конторы Yabb форума, хорошо все придумали! Попробовал записать свой шелл в папку атача форума, но увы шелл не выполнился как php(этого я и ожидал).!!! Опять забив на день, я вернулся к изучению сервера. Не хотелось забивать на форум, слив на винт все varsы .юзверей форума и переведя их в md5 , кинул на перебор. Сам этим временем загрузил на своем шелле nmap. Стандартный набор открытых портов, но одно "23" порт был открыт. Прителнетившись к 23 , получил предложение ввести логин :admin и меня попросили пройтись лесом- Начал опять смотреть директории на сервере и нашел админку в домашней директории сайта в котором нашел локальный инклуд. Написана все было на php , от сюда сразу идея почитать конфиг данной админки, тут как всегда попался config.php но внутри вместо dbuser и dbpass , я нашел две строчки $login и $pwd Code: $login:'ceaf032b15f379cc6413be8bd335259f' $pwd:'d474541e0992804e4b9743a7b9d0eff7' После перебора получил и логин и пароль (очень сложные). Зашел в админку и у меня на лице появилась улыбка Вкладка Upload Images, быстрым кликом я попал в раздел загрузки , но опять облом. Загрузка осуществляется через ftp сценарий , тут думаю все понятно ,надо знать логин и пасс к ftp. Ж( Пробую приконектиться к 21 ,но опять облом , фильтруется. Да , думаю 23 открыт для всех , а вот 21 только для своих( хотя 23 наиболее не безопасное решение для админа)!!! В админки я нашел ссылку на phpinfo , по нему там стояла линуха с ядром 2.4 , при хорошом раскладе звезд на небе рут гарантирован, но читаем дальше. Опять поиски по серверу и удача !!!!!!!!!!! Попался .htpasswd, а внутри много вкусного, акки , но не понятно к чему. Новая идея осенила мою голову, telnet host.com 23 !! И ввел первый логин из htaccess и тут уже я не пошел лесом, а мне задали вопрос , введите номер рабочего места для данного логина Пример:1312.4235.11. еБ . ТОП ТОП., не одно так другое. Но опять выход был найден в ранее найденой админки , на главной страницы красовались email админов и редакторов + 1312.4235.11 вот примерно такие наборы чисел. Опять telnet и уже не лес , а солнечное поле! Далее был залит шелл, затем сплоит и root!///// ВСЕМ БИЗНЕСМЕНАМ ПРИВЕДДДД!
чет меня не улыбает =/ Может просто я даун, но нахрен было нужно брутить, тебе всетаки понадобились эти логин и пасс?
а мне кажется он не понимает про что пишет: ну я думаю кому надо, тот поймет... если кто не понял, поясню: если он хотел проинклюдить логи апача, то как он смог прочитать config.php... и это только пример противоречивости
Ты себя пойми для начало. Цитаты ты собрал с разных частей рассказа!!! А вот и ответ на твой вопрос--> Инклуд в логах: http://xost.com/view.cgi?page=<?passthru($_GET[cmd]);?>,даная строчка записывается или в access_log ибо в errors_log, затем http://xost.com/view.cgi?page=../../../../../../../../../../../../usr/local/apache/logs/access_log?cmd=id http://xost.com/view.cgi?page=../../../../../../../../../../../../usr/local/apache/logs/errors_log?cmd=id Тут вроде все понятно с ходом моей мысли. Code: если кто не понял, поясню: если он хотел проинклюдить логи апача, то как он смог прочитать config.php... и это только пример противоречивости Оказалось ,что я не просто могу читать , но и перемещаться по директориям на сервере !
Я же написал , что у меня не получилось проинклудить логи, после чего я уже прочитал конфиг админки! А выше я описал действия с логами, которые не получились!
забей. Нормально и доступно все описано. Просто народу нечего делать, или настроение плохое. А если кто-то и до такого не дорос - лесом!
