Заливка шелла на сайты с sql-дырой...

Заливка шелла на сайты при помощи sql-дыры...

Ребят... Возникло несколько вопросов пока ломал сайты...
1. Есть сайт с установленной Windows Server 2003. Дыра самая что не на есть "простая". Как вы уже наверное поняли из названия темы это sql-баг. Как бы это смешно не звучало но там стоит: рут-юзер (root@localhost), права на чтение/запись любого файла и ОТКЛЮЧЕННОЕ экранирование кавычек! Ну я сразу начал пробывать заливать шелл. Но проблема в том что я не могу найти путь к сайту. Движков, форумов никаких нет. "[]=" тоже нигде не катит. Попытался подобрать путь к апаче вручную. Первое что попробывал это:
C:\Program Files\Apache Software Foundation\Apache2.2\conf\httpd.conf
Открылся... Прочитал... Нашел следующее:

Code:

DocumentRoot "C:/Program Files/Apache Software Foundation/Apache2.2/htdocs"

Но когда я попробывал прочитать оттуда файл index.php (первый файл на сайте..) оказалось, что его там нет. Потом попробывал записать результат sql-запроса в эту папку - тоже не прошло. Остановился на том что такой папки просто нет там (так как мускул не может создать папку при записи ("INTO OUTFILE"). Следующее, что я сделал, это то, что я попробывал прочитать файл:
C:\Program Files\Apache Software Foundation\Apache2.2\logs\error.log. Оказалось, что последняя операция проводимая с ДАННЫМ АПАЧИ была выполнена 13 ноября 2008 года... И это было - остановка апачи:

Code:

[Thu Nov 13 11:21:19 2008] [notice] Apache/2.2.4 (Win32) configured -- resuming normal operations
[Thu Nov 13 11:21:19 2008] [notice] Server built: Jan  9 2007 23:17:20
[Thu Nov 13 11:21:19 2008] [notice] Parent: Created child process 8996
[Thu Nov 13 11:21:20 2008] [notice] Child 8996: Child process is running
[Thu Nov 13 11:21:20 2008] [notice] Child 8996: Acquired the start mutex.
[Thu Nov 13 11:21:20 2008] [notice] Child 8996: Starting 250 worker threads.
[Thu Nov 13 11:21:21 2008] [notice] Child 8996: Starting thread to listen on port 80.
[Thu Nov 13 11:26:39 2008] [notice] Parent: Received shutdown signal -- Shutting down the server.
[Thu Nov 13 11:26:39 2008] [notice] Child 8996: Exit event signaled. Child process is ending.
[Thu Nov 13 11:26:40 2008] [notice] Child 8996: Released the start mutex
[Thu Nov 13 11:26:41 2008] [notice] Child 8996: Waiting for 250 worker threads to exit.
[Thu Nov 13 11:26:41 2008] [notice] Child 8996: All worker threads have exited.
[Thu Nov 13 11:26:41 2008] [notice] Child 8996: Child process is exiting
[Thu Nov 13 11:26:41 2008] [notice] Parent: Child process exited successfully.

Отсюда выходит, что где-то на диске затаился еще один апачи, который мне и нужен. Но как мне его найти? Никогда не думал, что столкнусь с такой проблемой... Уже смог найти конфиги мускула и даже PHP! Но этот...
Недавно вот пришла в голову еще одна идея - скачать файла реестра и посмотреть там в списке установленных программ. Но они не скачиваются... Даже если на локальном компе пробывать скопировать - пишет, что используются или что-то в этом роде... А там то уж и подавно. Получилось только скачать SOFTWARE.sav, SYSTEM.sav, но они же урезанные до... и списка этих самых установленных программ в них нет.
Может есть какие-нибудь логи Win инсталера, в который он пишет каждое проведенное действие?

2. Есть сайт, но уже с лином Как оказалось с теми же правами доступа, что и предыдущий... Но здесь уже проблемма в другом. Когда пробую залить шелл в папку с сайтом мускул пишет следующее:
Can't create/write to file '***' (Errcode: 13)
Прочитал в инете, что данная ошибка вылазит, когда разработчики забывают прописать путь для временых файлов в конфиге мускула (или что-то в этом роде). Как оказалось, в пользу для СЕБЯ =))
Начал искать обходные пути. Остановился на том, что надо получить доступ либо в админку сайта, либо на FTP-сервер. Из /etc/passwd вывел несколько юзеров, с которыми вроде как можно зайти на ФТП с правильно введенным пассом. Проблема узнать эти самые пассы. Начал копать sql-базу в поисках нужного пароля. Вроде табличку админов, с которыми, ПО КРАЙНЕЙ МЕРЕ, вроде можно зайти в админку сайта. Некоторые юзеры даже совпали с юзерами в passwd. Но я так и не смог подобрать пароли к хэшам. Перепробывал уже все онлайн-базы - МОЛЧАТ. Может кто сможет пробить по своим базам следующие пароли за плюсик?

Или может есть более простой способ (кроме брута) узнать пароли к ФТП серваку vsFTPd 2.0.3, имея возможность чтения любого файла? И еще: если брутить (ну это если совсем безвыходная ситуация будет), то с какой лучше программой?
Вообщем обращаюсь ко всем опытным людям... Помогите кто чем может =))

 

По пункту 2 - просто нет прав на запись. Попробуй залить в /tmp/shell.php

Просто ищи папки на запись. Например сканером сайта на папки и файлы

 

Да... я забыл написать... Находил я уже такие папки. Пишет спокойно в папку с самим мускулом (уже щас пути не помню)... Только что мне это даст? Я выполнить то эти php-скрипты не смогу в любом случае... Или я чего-то не допонимаю?

 

если на сайте есть локальный инклуд, то вы сможете подцепить этот файл с вашим залитым шеллом, что и требовалось.

 

В том и дело - ЕСЛИ ЕСТЬ ИНКЛУД... А если его нет, как, например, в моем случае?
P.S. По паролям... тоже тишина?

 

кроме того, что папка доступна на запись, она еще должна быть доступна из веба, или LFI искать

 

по пункту 1 - кто тебе сказал что там вообще апач?? Win 2003 часто густо работает с IIS. Уточни.

 

По пункту 1 - вполне вероятно что апач стоит не на диске C: а на другом + посмотри хедеры ответа что за сервак ну или 404 и смотри действительно ли апач весит(им конечно на 100% верить нельзя), если серваке не 1 сайт а больше - то попробуй просканить соседнии на предмет phpinfo() или ошибок.

 

да не факт apache там. просто там наверно раньше был apache, а потом перенесли на IIS.
посмотри что-то есть по адресу: c:\inetpub\wwwroot ?

 

Если там IIS - то c:/windows/system32/inetsrv/metabase.xml там конфиг IISa и пути там есть...

 

в первом случае там стоит винда, а не unix. /tmp/ соответственно не будет.
можно попробовать залить в C:\WINDOWS\Temp\ и то если прав хватит.

по поводу пассов. просмотри там в таблице поля salt нет. пробил по словарям - впустую

 

sketler - prOcm61707
надеюсь что поможет)

 

Так-с... Отвечу сразу всем и на все =))

Нет... Ничего нет... Ни .htaccess, ни index.php...

Такого файла нет. Как и собственно нет файлов:
C:/WINDOWS/system32/inetsrv/MetaBase.bin
C:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\windows\system32\inetsrv\IIRF\WWW\IsapiRewrite4.ini
c:\windows\system32\inetsrv\httpmib.dll
c:\windows\system32\inetsrv\communityserver.config
(через гуглю нашел)
Вывод, который должен следовать за этим, насколько я понимаю: это не IIS... Если только этот самый IIS не хранит конфигурационные файлы где-либо еще...

Винда точно одна:

Code:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Standard RU" /noexecute=optout /fastdetect

Диск - один тоже вроде... Поскольку когда я смотрел их файлы реестра (SYSTEM.sav если точнее), я увидел следующую картину:

Т.е. Си - вроде как один, единственный диск в системе...
404 ошибка вообще инннььььтересная (особенно если вчитаться в текст) =))

Я так понял это типо закос под винду (я про ГОЛУБОЙ экран смерти) =))
А по теме: это что какой-то стандартный вид ошибки какого-то серверного ПО или разработчики сайта решили угарнуть? =))

Прав то хватает на все (в винде с этим не так строго, как, допустим, в линуксе). Только как ими правильно воспользоваться?..

А вот это вопрос конечно интересный... Посмотрел только что - колонки типо SALT, сразу говорю, нет. Но зато есть интересная колонка COMMENT с очень интересными полями =)
Почему интересные? Ну вставьте вот эту муть в любой HEX-редактор и поймете сами =))

Code:

NPP:LOGIN:PASSWD:COMMENT
1:sketler:773b8c1ba60db9135378dad5e2b01354:0xC390C2B32E20C390C5B8C390C2B0C390C2B2C390C2BBC390C2BEC390C2B4C390C2B0C391E282AC
3:eduard:b9855d586fffed2e9792ab0914952f86:0xC390C2B32E20C3903FC3913FC391E2809AC390C2B0C390C2BDC390C2B00xC390C2B32E20C3903FC3913FC391E2809AC390C2B0C390C2BDC390C2B0

Как я понимаю, если есть соль, то решать дальше что-то с паролями - смысла нет?

Ну так он вроде и говорит про второй случай.

 

Огромноооое тебе спасибо! +1

P.S. К FTP к величайшему сожалению пасс не подошел. Теперь пробую админку...

 

О_о за расшифровку такого паса действительно стоит сказать спасибо

 

БРРРР... Оказалось, что админка для дибилоидов была сделана... Я дуранул, надо было сразу исходник страницы этой самой админки внимательно изучить... Я открыл файл, увидел, что вроде ссылается к sql-базе... Это все верно... только потом мне выводит только логи и еще какую-то инфу...

Добавлено:
А я вот тут подумал... Если в passwd прописано следующее:

то юзер mysql будет иметь доступ только к этой папке (т.е. /var/lib/mysql)? Если да, то это все объясняет. В частности, что только в нее я могу что-то писать...
P.S. Извиняюсь, если вопрос - тупой =)) В Линуксе - не силен...

 

Нет. Любой юзер может писать в папку ,доступную для записи ВСЕМ, тобишь на ней такое: drwxrwxrwx или 0777

Естественно что ограничить доступ к таким папкам можно разными способами, но не забивай голову, и пусть будет так, как я написал выше! =)

 

Это и ежу понятно, что доступ к папке можно ограничить через права =))
Я про:

Это"домашняя" директория для программы (юзера) с именем mysql или что? Зачем такие пути задаются в пассвде файле?

А по 1 моему пункту... Кто может дать более менее полный список всевозможных серверных программ (ну Апачи, ИИС и т.п.)?


Повторно спрошу: с таким ВИДОМ ошибок 404 никто не сталкивался?

Я имею ввиду, если такие ошибки присуще только какой-то определенной программе, то это бы значительно облегчило мой труд... =))
Заранее спасибо...

 

ну э не то что-бы я встречалсо с таким, но гугл выдал всего одну страницу с подобной ошибкой, типо этого http://www.saurik.com/id/12312321321

 

Сдал наконец экзамен... =))

я кстати еще один сайтик встретил... но видимо все-таки это разработчики постарались сделать 404 страницу такой =)
Ребят, еще такой момент ПО 1-МУ ПУНКТУ...
Недавно опять занялся этим сайтом и заметил, что там стоит phpmyadmin. Мне вот че интересно... Как я понял, чтобы все уязвимости (например, из темы http://forum.antichat.ru/thread50669.html) работали (в частности РАСКРЫТИЕ ПУТЕЙ) нужно залогиниться. Собственно, вопрос: можно ли как-нибудь "раскрыть этот самый путь", минуя всякие формы для ввода логина и пароля в БД? Может какой-то другой уязвимостью, где нет .htaccess'а и т.п. вещей?
Если нет, то огромная просьба: может у кого-нибудь есть хорошие базы Mysql5 хэшей? ГЛЯНЬТЕ, ПЛИЗ, ТАМ ЭТИ ПАРОЛИ:

За +. Заранее спасибо!

P.S. Версия phpMyAdmin: 2.11.2.2... По крайней мере, так написано на welcome-странице...