По просьбе одного из моих учеников, выкладываю его статью, сам же он пожелал остаться не известным. Для продвинутых ничего нового нет! Всем привет. Решил поделится со всеми одной достаточно вкусной багой администрирования, которая на мой взгляд была незаслуженно забыта, либо просто не так часто упоминается, несмотря на то что она есть в паблике Сразу скажу, что в администрировании я не мастер, да и вообще в целом новичок, но кое-что смогу вам рассказать. Если что-то скажу не так, или будет что добавить нашей администрации, подредактируйте мой пост пожалуйста! Итак, поехали... Мало кто знает, что доступ ко всем доменам на сервере, можно получить не только с помощью рута, но и с помощью просто кривых рук админа(криво выставленных прав на пользователя), как например в случаях приведенных чуть ниже - Здесь мы видим пользователя nobody, на практике еще может встретиться www-data, apache, что означает этот пользователь общий, а не конкретный(например admin) дальше одного домена выйти не получается, но что будет если ввести в консоль cat /etc/passwd ? Мы увидим соседние акки, о которых мы и не догадывались, но которые есть на сервере. В данном случае, их не так много, поэтому я открыто и безжалостно вам их палю, но бывают и вкусные серваки . Идем далее..... Вбиваем всё в ту же консоль ls -la путь до аккаунта. В нашем случае это будет выглядеть вот так ls -la /home/sendekaz/public_html/ Как мы видим, у нас есть доступ к просмотру этого аккаунта. Смотрим где есть права на запись... В любом случае, для вас не должно быть проблемой ориентироваться в правах на запись. Если для вас это всё же проблемно, то просто ориентируйтесь по черточкам. Если нету черточек, как например здесь drwxrwxrwx (папка backup со скрина) то значит есть права на запись. Теперь нам нужно скопировать наш залитый шелл с домена на который мы заливались, на нужный нам аккаунт который мы смогли посмотреть через консоль. Делается это вот так - cp [наш-шелл.php] [путь-куда-копируем/наш-шелл.php] Тоесть опять же в нашем случае это будет выглядеть вот так - cp shell.php /home/sendekaz/public_html/ backup/shell.php Воля! Шелл скопировался! И теперь по адресу site/ backup/shell.php мы имеем доступ к соседнему домену на сервере. И так можно делать с любым нужным нам доменом где мы имеем общего юзера. Впринципе, по словам наших сенсеев, бывает, что и из под конкретного(не общего типо apache или www-data) можно проделать тоже самое, но лично я такого пока не встречал. Так же есть еще два нюанса, которые стоит учесть. Первый... Может быть такое, что на сервере есть папка с доменом, но сам домен переехал. Поэтому советую заранее посмотреть какие домены работают на сервере, а уже потом в них заливаться таким способом. Для тех кто не знает, делается это вот так - Заходим на сайт http://www.bing.com и вбиваем айпи сервера в поисковик таким образом - ip:00.000.00.000 (где заместо нулей, реальные цифры айпишника сервака, который можно узнать через шелл, или любой сервис, например http://2ip.ru/ ) И второй нюанс.... На домене куда вы копируете шелл таким образом, в папке может быть .htaccess который любит блокировать выполнение пхп кода(шелла) из-за чего ваш скопированный шелл может не запуститься. Этот вопрос решается достаточно легко, нам всего навсего надо переименовать хтач в какую-нибудь фигню(достаточно заменить в нем одну букву). Делается это следующим образом - rename("путь-до-папки-с-хтачем/.htaccess",".htacc"); .htacc - то во что я переименовываю, вы же можете переименовать во что угодно. После проделанных манипуляций, шелл должен работать, если вы всё правильно сделали. Только не забывайте переименовать хтач обратно, дабы ваш шелл не потерли и подобные баги не прикрыли. Ну, на этом собственно всё. Пусть народ подтягивается и видит что тут действительно есть что-то интересное. А то надоело сидеть без дела . P.S: Из тех у кого из вас есть сайт или шеллы имеет смысл проверить на подобную багу, лично знаю что есть некие продовци шеллов которые продают по подобному методу, а некие которые продают и не знают что продали один шелл с доступом ко всем сайтам. Лично попросил автора данной статьи дать добро разместить ее сдесь, чтоб некие увидели ее, но говорят на BSS, гуру ее засрали, посмотрим что будет тут)))
Хорошие у тебя ученики, но ещё лучше твоя подпись. Достойный человек которому можно доверить вылечить свой сайт от заразы.
Статья была бы полной, если бы автор расписал про использование различных техник обхода привилегий при жёстких владельцах файлов, например симлинкинг с собственным passwd, или бастингом директорий. А так, для новичков нормально или вы хотите чтобы тут постили только приваты? Нужно помнить что приват теряет смысл, когда появляется в паблике. Уверен, что троли прочитав пост, сразу побежали тестить, но на то они и троли, чтобы портить жизнь другим. Есть здравая критика, распиши что не нравится/нравится, тогда и будет польза, а так одни мастера хардкода, ломают пентагоны через XSS, и в хроме каждый день новые способы выхода из песочницы находят.
Два года назад это было актуально, на 9ти из 10 хостерах, такая штука работала. Сейчас уже на многих закрыта.
На сегодняшний день все же имеет смысл держать это на счету. При чистки сайтов, поподаются подобные моменты, владельцам настоятельно рекомендую менять хостеров, ужасает когда поподаются крупные сайты на подобных хостингах с реально хорошими площадками. Не везде конечно есть возможность залиться, но чтение файлов конфига и доступ к БД, однозначно! Что то я не понял о чем именно ты) может разтолкуешь? если будет чем дополнить статейку, буду признатилен
ога, хостинг от мастерхост имеет такие кривые настройки, есть 4 шелла на его серверах)) со всех 4ёх + 1940 сайтов)) еще раз спасибо))
Спасибо за статью. Очень познавательное чтиво... Пойду, посмотрю, может у меня тоже бонусом что-то лежит)
Самое плохое то, что оказывается есть те, кто об этом (и о многом другом подобном) не знал раньше. А сейчас будет знать. Ты еще другие способы запости, вообще решишь проблему взломов.
Зачем так извращаться, если можно просто в suid wso Suid: /bin/sh Password: -c Php: /usr/local/bin/php -n #<= which php
А иеперь предсиавь что на кахто из других 1940 сайтов также есть люди которые заливались, и теперь они также имеют доступ ко всему детищю))) цены на шеллы еще не начали падать? Когда то и ты на подобных статьяух учился, пусть и другие поучатся, возможно еще будут дополнения, но не факт. то что в первом посте, можно реализовать на любом веб шеле, также и на бэкдоре с разрешением выполнения системных команд, а suid wso, многие еще не используют.
winstrool Да, только элект если конечно не ошибаюсь в далеком 2007-2008 годах, писал про бит -X на дире, что как бы можно сбрутить нужный конфиг, если на нем права -r для группы. В хацкере помоему даже статья была.
ты чё припи*днутый?!какой паблик,ты о чём Это уже как я хз лет 5 уже многим кому нужно известно. Мде ребятки.
Спасибо за наводку, нашел его статейку: https://forum.antichat.ru/showpost.php?p=911840&postcount=1 Попробую разобраться на практике.
