5 replies to this topic

[Zero-X]

Please Login HERE or Register HERE to see this link!

Im Feld folgendes eingeben:

;uname -a;.com

Das Skript verlangt am Ende der Eingabe eine unterstützte Domain mit Punkt und Domainname. Werden weitere Punkte irgendwo in das Feld eingegeben, ignoriert das Skript die Anfrage. Das bedeutet, daß wir nur eine Shell mit stark eingeschränkter Funktion haben. Geben wir jetzt zum Beispiel "ls .." ein, würden wir nicht das darüberliegende Verzeichnis zu sehen bekommen, sondern nichts.

So umgehen wir das:

Wir haben Zugriff auf den php-Interpreter und können mit Hilfe des Parameters -r php-Code direkt in der Kommandozeile ausführen. Um die Restriktion mit den Punkten zum umgehen hilft uns die Funktion "base64_decode". In einem base64-String kommen nämlich keine Punkte vor.


Nehmen wir jetzt diesen Code:

system("ls ../");

Den Codieren wir jetzt mit Hilfe eines Tools in base64:

c3lzdGVtKCJscyAuLi8iKTs

(eventuell müssen = Zeichen am Ende entfernt werden)


Jetzt geben wir unser fertiges Kommando in das Feld ein:

;php -r "eval(base64_decode("c3lzdGVtKCJscyAuLi8iKTs"));";.com

und wir haben keine Einschränkungen mehr.

[JudeMitHut]

Gute arbeit.!!!
Könntest du auch ein Tutorial fertigen welches beschreibt wie man nun mit dieser Sicherheitslücke den Server mittels .php-Shell oder sonstigen "übernehmen" kann?

[Ch!ller]

@Zero-X, ich finde es Klasse das du den "vorgang" sehr gut erklärst

[Zero-X]

@Ch!ller: Danke, ich geb mein bestes

@JudeMitHut: Der Server ist eigentlich schon "übernommen". Die Shell hast du bereits mit dem Eingabefeld auf der Seite und kannst alles damit anstellen, was du möchtest. Ich persönlich arbeite eigentlich überhaupt nicht mit Webshells die man hochlädt. Ich suche immer nach Möglichkeiten, keine Veränderungen an den vorhandenen Systemen vorzunehmen und sollte ich mal, aus welchen Gründen auch immer, mal eine Shell auf den Server uppen, lösche ich sie nach Gebrauch wieder oder verstecke sie in einer bereits vorhandenen Datei.

[JudeMitHut]

Alles klar hast ja recht... man kann die Befehle ja Manuel eingeben .png' class='bbc_emoticon' alt='^^' />


Wie findest du solche Vulns? Gibt es dazu auch gute Programme?

[Zero-X]

Ich benutze zum größten Teil Firefox-Plugins wie Live HTTP Headers, Hackbar oder User Agent Switcher um mir die Arbeit etwas zu erleichtern.
Um solche Vulns an sich zu finden, benutze ich keine Programme, ich habe da so ganz eigene Methoden. Eine ist, daß ich mir bewusst Skripte heraussuche, die mit großer Wahrscheinlichkeit auf Funktionen des Betriebssystems zugreifen wie zum Beispiel das Whois-Skript in diesem Thread. Es führt mit der Funktion system() den Shell-Befehl "whois" aus.