ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Ситуация такая. Был у меня давний шелл на одном сайте. Недавно сайт вместе с шеллом перенесли на новый сервер. Итого имеем:

Server software: Apache

Disabled PHP Functions: exec,passthru,shell_exec,system,proc_open,popen,sh ow_source,apache_child_terminate,apache_get_module s,apache_get_version,apache_getenv,apache_note,apa che_setenv,posix_kill,posix_mkfifo,posix_setpgid,p osix_setsid,posix_setuid,posix_getpwuid,posix_unam e,pclose,dl,disk_free_space,diskfreespace,disk_tot al_space,pcntl_exec,proc_close,proc_get_status,pro c_nice,proc_terminate,symlink,link

cURL support: enabled

Supported databases: MySql (5.5.47)

Но это еще не все. Есть права на запись на многие файлы и директории, но туда невозможно залить файлы с расширениями php, php3 4 5 , phtml, phps и .htacccess. Невозможно также создать указанные файлы, соответственно невозможно скачать их с другого сервера , распаковать и или переименовать. Невозможно внести изменения в существующие php файлы и .htaccess хотя права на запись имеются.

Короче что с этим можно сделать и куда копать дальше? Какие у кого будут мысли?

Парни, подскажите по одной непростой SQL иньекции:

http://www.profclinic.ru/search/?search_string=[rand]'

Где вместо [rand] - любое значение которое при каждом обращении должно меняться, дальше кавычка, в противном случае SQL не будет.

Вот из за рандомного значения данную SQL не может схватить Sqlmap, в нем отсутствует макросс который мог бы генерировать рандомное значение (а может я плохо искал, и такой есть, подскажите).

Сложность иньекции в том, что сам уязвимый скрипт разделяет части SQL запроса, если там встречаются символы пробела, запятой, точки, и ещё некоторых, не получается иньект провести.

Если сможете подсказать вектр раскрутки данной уязвимости, очень поможете. Или через sqlmap или может быть в ошибку удастся вывести инфу.

selinux однозначно. А уже имеющиеся .php файлы редактировать можешь? И если не работает перловый или питоновский шелл, боюсь вариантов нету.

Точно там есть уязвимость

http://www.profclinic.ru/search/?search_string=тут передаётся строка, то что вы вбили в поиск на Index.php

BabaDook да действительно... уязвимость есть...

Вопрос мой не об этом. Если сможете помочь найти рабочий вектр раскрутки, очень поможете.

Да! Уже понял, что selinux или apparmor (особенно учитывая что ось убунта). Имеющиеся php-файлы редактировать не могу. Полный запрет на запись php файлов при наличии прав на запись. Перловые скрипты не выполняются. Питон еще конечно попробую, но крайне мало вероятно.

хм то есть шелл какой никакой есть?

сессии то апач куда то пишет, ну конечно это могут быть всякие редисы, но может и файлы, тогда в файл сессии можно записать что нужно, а потом проинклудить, может нужно найти диру доступную для записи( типа /tmp ), то есть на диры сайта может и стоят 777, но вполне возможен какой нибудь chattr +i и ппц

php работает как модуль или cgi? неплохо было бы скидывать phpinfo в таких случаях хотя бы. обходить disable_functions пробовали?

результат запроса видимо кешируется, поэтому при повторной обращении с таким же запросом скули нет

в sqlmap есть макрос для рандомизации параметра

python sqlmap.py -u 'http://www.profclinic.ru/search/?sea...dfghjklzxcvbnm' --randomize=search_string

рандомить он будет из символов "1234567890qwertyuiopasdfghjklzxcvbnm", можно указать другие если нужно

мда пробел и запятая фильтруется, вместо некоторых спецсимволов и вовсе подставляется знак %

валидный запрос удалось составить, но данные как извлечь не придумал

http://www.profclinic.ru/search/?se...2cczxceferg555dfwergtwevvvttr')||(select(1)) #

ребят, нужна помощ.

Через sqlmap нашел блинд скулю, права на запись есть, всё как надо. Проблема в том, что поле логин выдает ошибку , где указан полный путь и при попытке залить шелл он берет его, а у тех папок из пути нету прав на запись..Так вот, как заставить его выбрать кастомный путь?

Пробовал без sqlmapа UNION SELECT '' INTO OUTFILE '' -- , но попытки оказались неудачными, тк в поле логин допустимо только 8 символов