Локальный include как способ получть шелл

Discussion in 'Уязвимости' started by Goudini, 1 Sep 2006.

  1. Goudini

    Goudini Elder - Старейшина

    Joined:
    7 Jun 2006
    Messages:
    132
    Likes Received:
    134
    Reputations:
    91
    Получение шела при локальном инклуде

    Часто когда находится уязвимость локального инклуда, но паролей от базы данных нет, или есть, но к фтп не подошли, а база пускает только с localhost, дополнительные дыры в скриптах не найдены.... Казалось бы всё пропало, но если есть доступ к файлу журналов Веб-сервера access.log или error.log, можно получить шелл

    Запускаем telnet localhost 80

    Теперь в файле останется запись похожая не эту
    Как видите всё передалось в чистом виде.
    Теперь если к основному скрипту подключить файл логов, то возможно он будет выполнен как php-код
    Смотрим.. Вуаля
    Можем выполнять команды.
    Для решения данной уязвимости, нужно разрешить просмотр конфигурационных файлов только пользователю root
     
    #1 Goudini, 1 Sep 2006
    Last edited: 1 Sep 2006
    5 people like this.
  2. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    495
    Likes Received:
    106
    Reputations:
    54
    интересная идея.
    но мне кажется, что редко где файл log обрабатывается как .php
     
    #2 Utochka, 1 Sep 2006
  3. k1b0rg

    k1b0rg Тут может быть ваша реклама.

    Joined:
    30 Jul 2005
    Messages:
    1,182
    Likes Received:
    399
    Reputations:
    479
    да хоть расширение bmp будет, он его обработает как php код.

    Действительно идея интересная, но как на практике она работает, хз.
     
    #3 k1b0rg, 1 Sep 2006
  4. max_pain89

    max_pain89 Eat `em UP!

    Joined:
    11 Dec 2004
    Messages:
    451
    Likes Received:
    140
    Reputations:
    146
    способ стар как мир, просто мало о нем кто думает в первую очередь...

    уже давно сплойты перебирают всевозможные локации логов.
    http://securityreason.com/exploitalert/1100
    часто есть права на чтение /etc/httpd/conf/httpd.conf или /etc/apache/conf/httpd.conf, ну или /etc/apache2/conf/httpd.conf


    Парни не забываем, что если еррор лог (или акцесс) больше максимального размера (установленного в настройках пхп) то появится лишь ошибка класса warning
     
    #4 max_pain89, 1 Sep 2006
    1 person likes this.
  5. m0nzt3r

    m0nzt3r моня

    Joined:
    22 Jun 2004
    Messages:
    2,096
    Likes Received:
    673
    Reputations:
    591
    макс_пейн прав..взгляните на сплойты на милворме..особенно от ргод-а.Там тоже перебираюца логи, только у мя никогда не пахало(( много ждал.Почти весь массив перебирал))
     
    #5 m0nzt3r, 1 Sep 2006
  6. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    Об этом способе получения шелла не так часто пишут, а в сплоитах он и правда время от времени встречается.
    Несколько подробнее про это можно почитать, к примеру, в статье n4n0bit'а вот здесь: _http://hellknights.void.ru/articles/0x48k-phpinclandinjattacks.html
     
    #6 Digimortal, 20 Sep 2006
    Last edited: 20 Sep 2006
  7. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389
    Давно читал эту статью в papers на milworm.
    P. S. 80% логи не доступны для чтения пользователю под которым запущен веб-сервер.
     
    #7 1ten0.0net1, 22 Sep 2006
  8. Sw%00p

    Sw%00p Banned

    Joined:
    13 Apr 2006
    Messages:
    47
    Likes Received:
    8
    Reputations:
    8
    ну одно и тоже если мы пихнём в картинку пхп код и зальём на сервак в галлерею к примеру и через локальный инклуд експлуатируем
    а если обычно запускать ну конечно же он будет обрабатываться как обычная картинка или лог файл просто
     
    #8 Sw%00p, 22 Sep 2006
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.