Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Развить атаку через SQL load_file() (https://forum.antichat.xyz/showthread.php?t=481747)

Forserer 11.11.2020 16:41
Всем привет, получилось добраться через SQL до чтения файлов на сервере

.SpoilerTarget" type="button">Spoiler: OS на сервере

Код:
Code:
NAME="Ubuntu"
VERSION="18.04.1 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.1 LTS"
VERSION_ID="18.04"
VERSION_CODENAME=bionic
UBUNTU_CODENAME=bionic
Но похоже что данный сервер это только БД и на нем нет ничего другого из серии apache nginx ftp вроде как после просмотра "/var/log/dpkg.log"

удалось найти в конфиге mysql такое, не понятно как к этому подключаться только

.SpoilerTarget" type="button">Spoiler: MariaDB

Код:
Code:
wsrep_on = ON
wsrep_provider                  = /usr/lib/galera/libgalera_smm.so
wsrep_cluster_name=my_wsrep_cluster
wsrep_cluster_address="gcomm://XX.88.78.XX:4567"
wsrep_node_address="XX.XXX.XXX.XXX"
wsrep_node_name=hw1
wsrep_sst_auth=login:pass
#wsrep_sst_method=xtrabackup-v2
wsrep_sst_method=mariabackup
/etc/passwd читается, но вот /etc/shadow его нету

Как я понял сервер конкретно под базу, может быть есть какие варианты узнать например ip чтобы к нему попробовать подключиться, или еще куда копнуть попробовать?

UPDATE:

нашел еще один момент с sql injection можно вставлять на страницу тэги script и прочие, но вот при вставке строка приобретает такой вид на странице может есть варианты это обойти? строки на страницу вставляю только после кодирования в HEX иначе не работает вставка тэгов

dmax0fw 12.11.2020 06:12
Цитата:
Сообщение от Forserer
Forserer said:

может быть есть какие варианты узнать например ip чтобы к нему попробовать подключиться
Код:
Code:
load_file('/proc/net/tcp')
Колонка local_address - то что нужно. IP и порт закодированы в hex. Только сначала нужно реверснуть все байты, а потом уже переводить в десятичные значения

Цитата:
Сообщение от Forserer
Forserer said:

нашел еще один момент с sql injection можно вставлять на страницу тэги script и прочие, но вот при вставке строка приобретает такой вид на странице может есть варианты это обойти?
PHP код не будет выполняться т.к. в данном случае он не хранится на сервере и выводится через скулю как простой текст

Forserer 12.11.2020 18:29
Цитата:
Сообщение от dmax0fw
dmax0fw said:

Колонка local_address - то что нужно. IP и порт закодированы в hex. Только сначала нужно реверснуть все байты, а потом уже переводить в десятичные значения
отображается в незакодированном виде список узеров и в конце 127.0.0.1

Цитата:
Сообщение от dmax0fw
dmax0fw said:

PHP код не будет выполняться т.к. в данном случае он не хранится на сервере и выводится через скулю как простой текст
вставка через базу тоже не работает, код так же комментируется

Baskin-Robbins 12.11.2020 19:59
Цитата:
Сообщение от Forserer
Forserer said:

Но похоже что данный сервер это только БД и на нем нет ничего другого из серии apache nginx ftp вроде как после просмотра "/var/log/dpkg.log"
Отсутствие записей в этом логе не говорит об отсутствии веб сервера и тд.

Цитата:
Сообщение от Forserer
Forserer said:

/etc/passwd читается, но вот /etc/shadow его нету
Он есть, нет прав на его чтение. Если он отсутствует - после ребута не залогиниться в ОС.

Первым делом чтобы определиться отдельно ли СУБД стоит - просканить порты на 3306(возможно другой).

Попробовать почитать дефолтные пути логов, конфигов ВС - как миниму access.log, error.log ну и тд.

Предполагаем что это уже сделано.

Тогда далее необходимо определиться - чего мы там забыли, если кроме бд там ничего нет?

1) Инфа в бд, в частности креды юзеров к ресу - основной момент, незавимо от того где висит мускул.

2) Серчим файлы с возможным password leakage или другой чувствительной информацией, это наверное болшье

к теме повышения привилегий.

Тема IP. Для поиска айпишника с базой можно попробовать посмотреть:

-- Субдомены

-- Просканить подсеть на указанный выше порт

-- Поискать ресы, которые могут быть связаны с целевым

Forserer 13.11.2020 18:07
Цитата:
Сообщение от Baskin-Robbins
Baskin-Robbins said:

Отсутствие записей в этом логе не говорит об отсутствии веб сервера и тд.
Он есть, нет прав на его чтение. Если он отсутствует - после ребута не залогиниться в ОС.
Первым делом чтобы определиться отдельно ли СУБД стоит - просканить порты на 3306(возможно другой).
Попробовать почитать дефолтные пути логов, конфигов ВС - как миниму access.log, error.log ну и тд.
Предполагаем что это уже сделано.
Тогда далее необходимо определиться - чего мы там забыли, если кроме бд там ничего нет?
1) Инфа в бд, в частности креды юзеров к ресу - основной момент, незавимо от того где висит мускул.
2) Серчим файлы с возможным password leakage или другой чувствительной информацией, это наверное болшье
к теме повышения привилегий.
Тема IP. Для поиска айпишника с базой можно попробовать посмотреть:
-- Субдомены
-- Просканить подсеть на указанный выше порт
-- Поискать ресы, которые могут быть связаны с целевым
Там выше я оставлял вывод mysql конфига и там есть интересная строчка, wsrep_node_addres вот это как раз и есть адрес целевого хоста на котором и крутится вебсервер, там и порты открыты 21,22,80,443 и 4567 для galera, а он уже видимо через порт 4567 подключается к данному серверу к galera на котором уже крутится mysql. Так же в этом конфиге есть wsrep_cluster_address вот это не понятно возможно и сам сервер с базой но из дефолтных портов 22 есть и вроде как все.

По остальному да скорее всего у пользователя mysql тупо нету прав на чтение всего остального. Дефолтные пути логов базы скорей всего изменены т.к прочитать ничего не удалось.

И получается что сейчас есть доступ к админке сайта(opencart 1.5.1) но нет возможности залить какой либо php файлик и есть доступ через иньекцию к базе а первоначальная цель доступ к файлам на сайте.

Baskin-Robbins 13.11.2020 18:30
Цитата:
Сообщение от Forserer
Forserer said:

возможности залить какой либо php файлик
Не знаю, пробовали или нет, но возможно пригодится:

forum.antichat.ru/threads/409950/

packetstormsecurity.com/files/111682/

cvedetails.com/cve/CVE-2014-3990/

возможно что-то еще есть, первое что нагуглил, либо поднимать у себя и смотреть самим уже

Forserer 13.11.2020 20:35
Цитата:
Сообщение от Baskin-Robbins
Baskin-Robbins said:

Не знаю, пробовали или нет, но возможно пригодится:
forum.antichat.ru/threads/409950/
packetstormsecurity.com/files/111682/
cvedetails.com/cve/CVE-2014-3990/
возможно что-то еще есть, первое что нагуглил, либо поднимать у себя и смотреть самим уже
Да что то уже видел, самое печальное что эти дыры закрыты, залить php файлик можно только вот он скачиваться будет а не исполняться из за .htaccess, модуль корзины там другой используется, вобщем чет вилы какие то, видимо остается вариант побрутить пароли от мускула и попробовать с ними в ssh, ftp постучаться, но спасибо за инфу

UPDATE: nmap показал что порт 3306 закрыт


Время: 20:27