что даёт fopen любого файла на Солярисе

Discussion in 'Уязвимости' started by Johan, 2 Jun 2008.

  1. Johan

    Johan New Member

    Joined:
    25 Nov 2007
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    1) Нашел одну машинку.. :)

    /etc/shadow конечно не дали :)
    более того, даже какой-нибудь .mysql_history или там .bash_history не дали.

    зато всё остальное дали.

    вот этим кусочком кода:

    PHP:
    <?

    if(
    file_exists($input)){

          
    $dir explode("/"$input);
          
    $nr_dir sizeof($dir) - ;
          
    $name $dir[$nr_dir] ;

          
    header("Content-Type: application/octet-stream");
          
    header("Content-Length: ".filesize($input));
          
    header("Content-Disposition: attachment; filename=$name");

          
    $fp fopen($input'rb');     
          
          
    fpassthru($fp);
          
          exit() ;
          
        }
    ?>
    [php]

    Вопрос: какие жизненно важные файлы, эээ, смотреть? Можно ли что-нибудь записать? Пхп там 4-й, увы :(
    Указав директорию, получаешь листинг файлов в ней (в каком-то через три жопы пережеванном формате, который сначала через od -c, потом через awk, и то половина букв отсутствует, имя файла при этом случайное.

    2) Есть вторая машинка почти с такой же уязвимостью. На ней ms windows server 2003, но доступ к файлам фактически вслепую.  Кое-как догадался на boot.ini проверить :). На windows/repair/sam, DT_SAM и прочие интересные файлы тайм-аутится, остальное отдаёт, если имя угадаешь.
     
  2. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,388
    Likes Received:
    1,209
    Reputations:
    475
    если в админке бейсик-авторизация можно посмотрреть .htaccess или .htpasswd
     
  3. Johan

    Johan New Member

    Joined:
    25 Nov 2007
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Это бэк-энд машинка. (
    она наружу вообще не смотрит.
     
  4. Johan

    Johan New Member

    Joined:
    25 Nov 2007
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    в locatedb хранятся, как я понимаю, файлы и пути к ним в упрощённом, сжатом виде.

    можно ли его как-нибудь разжать? пробовал подставить вместо своего -- ругается, тварь )


    то есть, там белиберда такого плана:

    Code:
    ssibleRSCBattery.class^@^E.class^@<F9>CellRenderer.class^@^@Legend.class^@^FT.class^@<FA>TempBar$AccessibleRSCTempBar.class^@
    ^G.class^@<F6>SerialFrame.class^@^FInfo.class^@<FA>TreeListener$1.class^@^L.class^@<F4>UserAdminFrame$1.class^@^N.class^@<F6>T
    ableModel.class^@<F6>ssp^@^C/BasePlatformSupport.class^@^ESetRequestObserver.class^@^ASPDeviceManager.class^@<FF>TrapHandler.c
    lass^@<FC>Dummy2SessionListener.class^@^E3MonitorListener.class^@^@4AlertListener.class^@^@SessionListener.class^@^ASPDeviceMa
    nager.class^@^BSessionManager.class^@<F8>GenericSSPProtocolLogger.class^@^RRecorder.class^@<EE>MibVariable.class^@^AonitorThre
    ad.class^@<FF>PlatformSupport.class^@^@RSCEvents.class^@^CPingThread.class^@^@SSPSessionManager.class^@<FD>SolsticeSSPSessionM
    anager.class^@^ASPAccessDeniedException.class^@^ClertEvent.class^@^DListener.class^@<FB>BaudRate.class^@^Aoolean.class^@^BtMod
    e.class^@<FD>Cpu.class^@^@DataBits.class^@^AeviceManager.class^@^ENotRespondingException.class^@<FA>EventLogEntry.class^@^@Fan
    .class^@^@HostNotRespondingException.class^@^@InternalDisk.class^@^BvalidDataException.class^@  OnDeviceException.class^@<FC>H
    ostException.class^@^@ParameterException.class^@<FA>PMode.class^@<FF>Keyswitch.class^@^@LEDStates.clat[code]
    
    и т.д., всё содержимое архива.  Путей не знаю, "API" если так можно сказать всё выдает  так, что более-менее чиатть можно после 2-3 фильтров
     
  5. ShAnKaR

    ShAnKaR Пачка маргарина

    Joined:
    14 Jul 2005
    Messages:
    904
    Likes Received:
    297
    Reputations:
    553
    я бы смотрел сорцы скриптов и через баги пытался залить шел.