Safe mode bypass

Discussion in 'Песочница' started by Failure, 8 Mar 2010.

  1. Failure

    Failure Elder - Старейшина

    Joined:
    21 Sep 2008
    Messages:
    179
    Likes Received:
    46
    Reputations:
    16
    имеется RFI
    PHP:
    include($_GET['x'].".php");
    шелл удачно инклудится и работает
    Software: Apache/1.3.41 (Unix) PHP/4.4.9 with Suhosin-Patch mod_ssl/2.8.31 OpenSSL/0.9.7e-p1

    uname -a: FreeBSD server.name 6.3-RELEASE-p13
    amd64

    реверс ипом нашел множество других сайтов на этом сервере с различными багами от раскрытия путей до скл-инъекций и таких же инклудов
    конструкции вида ../../../other_user/www/config.php естественно режутся, да и права грамотно настроены (только читать и могу)
    disable_functions пусто, так что дело лишь за обходом сейфмода
    читалки curl`ом и другие (wso2 shell) не канают, на всё ругается сейфмод, способ обхода через proc_open() может и работает но для этого надо залить куда то библиотеку (куда Оо, везде нет прав) + создать файлы с правами 777 (chmod опять таки режется сейфмодом)

    мне нужно минимум - получить выполнение команд с шелла
    Какие предложения?
     
  2. (Dm)

    (Dm) Elder - Старейшина

    Joined:
    8 Apr 2008
    Messages:
    261
    Likes Received:
    440
    Reputations:
    275
    http://securityreason.com/securityalert/6601
    Affected Software: php:4.4.9

    Модули apache какие доступны?

    Интересно куда же сессии пишутся в таком случае, смотри phpinfo (/tmp/)
     
    #2 (Dm), 8 Mar 2010
    Last edited: 8 Mar 2010
    1 person likes this.
  3. Failure

    Failure Elder - Старейшина

    Joined:
    21 Sep 2008
    Messages:
    179
    Likes Received:
    46
    Reputations:
    16
    за ссылку спасибо, сессии в /tmp
    PHP:
    tempnam('/full_path','smb.php.');
    // получаю
    <br />
    <
    b>Warning</b>:  tempnam() [<a href='function.tempnam'>function.tempnam</a>]: open_basedir restriction in effectFile(/var/tmpis not within the allowed path(s): (/tmp/:/tmp:/full_pathin <b>http://mysite.ru/shell.php(448) : eval()'d code</b> on line <b>1</b><br />
    вот вся и проблема что tempnam никуда не создаётся, кроме как в /tmp и толку от этого мало, да и записать в файл ничего не получается т.к.
    PHP:
    file_put_contents('/tmp/safe_mode_bypass.php.iX4hHg', '<? phpinfo(); ?>');
    //Fatal error:  Call to undefined function: file_put_contents() in http://mysite.ru/shell.php(448)
    все к сожалению, верно, т.к. file_put_contents появилось в 5 пыхе, а тут 4.4.9

    на fwrite/fputs нет прав
     
    #3 Failure, 8 Mar 2010
    Last edited: 8 Mar 2010
  4. (Dm)

    (Dm) Elder - Старейшина

    Joined:
    8 Apr 2008
    Messages:
    261
    Likes Received:
    440
    Reputations:
    275
    Call to undefined function: file_put_contents() причем тут права. бб я спать
     
  5. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    fwrite и fputs не работает? Это фрихостинг?
    Записать файлы можно еще при помощи move_uploaded_file(), для этого нужно загрузить их POSTом сначала.
    Может у соседей есть хотя бы одна папка с правами на запись и RFI таким же как у тебя уже есть(ты сам сказал об этом). Пробуй.
     
    #5 попугай, 8 Mar 2010
    Last edited: 8 Mar 2010
  6. Failure

    Failure Elder - Старейшина

    Joined:
    21 Sep 2008
    Messages:
    179
    Likes Received:
    46
    Reputations:
    16
    спасибо, проблема решена, отдельное спасибо (Dm) за помощь, способ меня весьма удивил
     
  7. s_p_a_m

    s_p_a_m Elder - Старейшина

    Joined:
    8 Feb 2008
    Messages:
    100
    Likes Received:
    58
    Reputations:
    4
    так просвети же)
     
Loading...
Similar Threads - Safe mode bypass
  1. DescargaR
    Replies:
    2
    Views:
    2,396