Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Залитие шелла с расширение .jpg и правка в пост-запросе (https://forum.antichat.xyz/showthread.php?t=302432)

N@b$ter 09.11.2011 19:58
В общем решил написать статью как залить шелл через адмику если не пропускается расширение .php. Написал потому что очень часто стал видеть темы вроде такой "помогите как залить шелл через админку". Просьба сильно не пинать, первая статья

[into]
Профи для себя нечего не почерпнут из данной статье так как, статья рассчитана на новичков!

[Поехали]
И так думаю каждый попадал в такую админку где нельзя заливать файлы с расширением php и нету редактирование шаблонов и т.д.

Я покажу способ который часто меня выручал в таких ситуациях, не помню вычитал ли я это или сам додумался было очень давно)))

Для данного способа понадобиться Mozilla Firefox и плагин к нему tamper data скачать всё можно с официального сайта мозиллы.

Теперь изменяем расширение шелла (я взял wso2) на .jpg

Заходим в админку и ищем откуда можно залить файлы. У меня это в разделе Медиа. Создаём новую тему и прикрепляем нашу "картинку".

перед тем как всё это сохранить запускаем tamper data (Инструменты ==> Перехватка данных) и кликаем на "Запустить перехват". Сохраняем наш шедевр и появляется следующее окно

Нажимаем "Вмешаться" и видим

Теперь меняем расширение с jpg на php(filename="wso2.php") и Content-Type на application/x-httpd-php (Content-Type: application/x-httpd-php)

и нажимаем "Ok". Можно считать что пол дела сделано. Проверяем как там наша новость. Должно быть что-то вроде этого

смотрим ссылку картинки и видим что тут картинка выдаётся через скрипт

Ну тут всё просто, обрезаем строку "images/media/16.jpg" и получаем site.ru/images/media/16.jpg меняем расширение на php site.ru/images/media/16.php получаем полноценный шелл и радуемся)

Данная статья предоставлена в ознакомительных целях автор не несёт ответственности за Ваши действия

N@b$ter для antichat.ru

попугай 09.11.2011 23:19
i****a.ru ага-ага.

Цитата:
Сообщение от None
Теперь меняем расширение с jpg на php(filename="wso2.php") и Content-Type на application/x-httpd-php (Content-Type: application/x-httpd-php)
Хмм, похоже ты сам себя отымел в ж**пу. Не вижу в этом смысла - это то же самое, что и заливка обычного php-файла без изменения заголовков. Обычно заголовки изменять нужно, если расширение ".php" не принимается или content-type, отличный от "image/*"

Expl0ited 09.11.2011 23:41
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$ph[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'error'[/COLOR][COLOR="#007700"]]==[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])

 {

[/COLOR][COLOR="#0000BB"]$pmid[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]sql[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Select max(id) as mid from photo"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ar[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]);

 if ([/COLOR][COLOR="#0000BB"]mysql_num_rows[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$pmid[/COLOR][COLOR="#007700"])>[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])

 {

[/COLOR][COLOR="#0000BB"]$pmid[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$pmid[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$pmid[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"mid"[/COLOR][COLOR="#007700"]]+[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];

 }

 else[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$oldname[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$ph[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$ii[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$oldname[/COLOR][COLOR="#007700"])-[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];

 while ([/COLOR][COLOR="#0000BB"]$oldname[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]$ii[/COLOR][COLOR="#007700"]+[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]]!=[/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"]) {[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$oldname[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]$ii[/COLOR][COLOR="#007700"]--].[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"];}

[/COLOR][COLOR="#0000BB"]move_uploaded_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$ph[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'tmp_name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#DD0000"]"./temp/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]);

 if ([/COLOR][COLOR="#0000BB"]in_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]strtoupper[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"])), Array([/COLOR][COLOR="#DD0000"]'.JPG'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.GIF'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.PNG'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.JPEG'[/COLOR][COLOR="#007700"])))

 {

 if ([/COLOR][COLOR="#0000BB"]rename[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"temp/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$fldr[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"])))

 {

[/COLOR][COLOR="#0000BB"]sqlr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Update advs set timeupdate='[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$time[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' where id='[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$idt[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]sql[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Insert into photo'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ar[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'(IDT, fname, alt, time) values ('[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$idt[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]',"'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]'","'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$phalt[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'", '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$time[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]');'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]);

 }

 else

[/COLOR][COLOR="#0000BB"]unlink[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fldr[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$mid[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]);

 }[/COLOR][/COLOR
Соль в том, что там просто самая тупая проверка на свете, и достаточно было подменить _POST['file']['name'] на .JPG, .GIF, .PNG, .JPEG и шелл залит.

Тема не дотягивает до раздела "Уязвимости".

N@b$ter 10.11.2011 07:12
Цитата:
Сообщение от попугай
попугай said:
Хмм, похоже ты сам себя отымел в ж**пу. Не вижу в этом смысла - это то же самое, что и заливка обычного php-файла без изменения заголовков. Обычно заголовки изменять нужно, если расширение ".php" не принимается или content-type, отличный от "image/*"
Дело в следуещем часто если ты не изменяешь content-type, то файл отображаеться как html, а не пхп.

И как было написанов в сабже это для новичков которые этого не знали.

Цитата:
Сообщение от Expl0ited
Expl0ited said:
Соль в том, что там просто самая тупая проверка на свете, и достаточно было подменить _POST['file']['name'] на .JPG, .GIF, .PNG, .JPEG и шелл залит.
Тема не дотягивает до раздела "Уязвимости".
Мне очень часто так удавалось залить шелл, так что я пишу только то что проверил на собственном опыте. Тема и не называлась как "МЕГА УЯЗВИМОСТЬ". Просто не видел места куда её можно засунуть, а темы в которых просят помощи по загрузки шелла тут, вот и поместил её сюда

flinster 10.11.2011 20:00
А как быть если при заливке shell.jpg выбивает ту же ошибку что и при заливки php?

N@b$ter 11.11.2011 07:36
Цитата:
Сообщение от flinster
flinster said:
А как быть если при заливке shell.jpg выбивает ту же ошибку что и при заливки php?
Посмотри какие расширение можно заливать.

flinster 11.11.2011 09:09
Цитата:
Сообщение от None
Посмотри какие расширение можно заливать.
Есть раздел по заливке файлов для скачивания, туда практически все кроме пхп разумеется. Если шелл картинкой кидать то выдает ошибку и без изменения запроса и с изменением, не заливает, а вот если в формате pdf то заливает но если вмешиваешься меняешь на php то такая же ошибка не заливает так.

N@b$ter 11.11.2011 15:24
Цитата:
Сообщение от flinster
flinster said:
Есть раздел по заливке файлов для скачивания, туда практически все кроме пхп разумеется. Если шелл картинкой кидать то выдает ошибку и без изменения запроса и с изменением, не заливает, а вот если в формате pdf то заливает но если вмешиваешься меняешь на php то такая же ошибка не заливает так.
Тут проходит проверка уже на сервере после того как отправляется пост ищи другие способы заливки


Время: 16:49