5 replies to this topic

[cX.]

Hallo!

 

Ich sitze jetzt seid etwa 2 Stunden an einer SQLi für eine Universität.

 

Ich konnte bereits die komplette Kontrolle über das Forum übernehmen und habe dort sämtliche

Administratorkonten. Es wird "runcms" als CMS verwendet und "BBPlus" als Forum wenn ich das

richtig sehe. Das Problem ist nur das der MySQL Nutzer keine Schreibrechte hat und sämtliche

Tricks mit Dateiuploads etc. nicht funktionieren (ich kann nicht mal .php in den Dateianhängen

erlauben das ist da wohl hardgecodet worden. Auch Avatarupload funktioniert nicht "ULC_BADFILE")

 

Jetzt möchte ich nur die Kontrolle über den Server haben. Leider besitzt der Nutzer w.g keine

Schreibrechte und --os-shell, --os-cmd, --os-pwn... funktionieren alle nicht. Gibt es irgendeine

Möglichkeit sich diese Schreibrechte zu verschaffen? Oder kennt sich jemand eventuell mit runcms

/ bbplus aus und kennt einen Exploit für Dateiuploads? (der einzige den ich finde konnte war von 

2006 und gefixt)

[myman]

Wahrscheinlich hast du dann auch keine Leserechte außerhalb deiner aktuellen DB. Sonst könntest du die Mysql User auslesen und nen root bruten, vorausgesetzt der Host erlaubt Verbindungen von außen.

 

Ansonsten kann du nurnoch div. Bypass Methoden testen.

 

Tampern wäre noch eine möglichkeit

.htaccess Upload und anderen Filetype als Application setzen

versuchen ob du eine LFI auslösen kannst um dann nen Log einzulesen

 

Wenn du willst, schaue ich mal mit drüber.

[cX.]

Wahrscheinlich hast du dann auch keine Leserechte außerhalb deiner aktuellen DB. Sonst könntest du die Mysql User auslesen und nen root bruten, vorausgesetzt der Host erlaubt Verbindungen von außen.

 

Richtig. Ich kann nicht in mysql.user reinsehen.

Tampern lese ich mich gleich mal zu ein; .htaccess kann ich nicht uploaden (glaube ich, gleich mal probieren)

LFI währe eine Idee mal schauen ob ich da was finde.

 

Kann man dich irgendwo kontaktieren? Jabber?

[R3s1stanc3]

Kannst du als Admin im Forum keine Styles oder Plugins uploaden oder bereits existierende bearbeiten?

Damit könntest du dir auch eine Backdoor einbauen, die zu einer RCE führt

[cX.]

Weder noch.

 

Hab mir die Plugins Seite mehrmals angeschaut man muss anscheinend die Plugins in den modules Ordner hochladen auf den ich natürlich keinen Zugriff habe.

Die Seite nutzt runcms 1.1A von 2004 darum ist vieles noch veraltet. Leider hat der Administrator anscheinend zumindest für seine Version alle exploits gepatched

oder den Server umkonfiguriert (nichts hat funktioniert).

 

Ich versuche gerade einfach mit hydra und der rockyou Liste den Serverlogin zu kriegen.

Der Typ ist sogar so blöd ne phpinfo.php anzulegen und sie nicht zu löschen, das bringt

mich aber nicht weiter.

 

Wenn du Zeit hast können wir uns auch mal privat unterhalten (Jabber: cX@dukgo.com)

[MDDD]

übergib php code als header oder ref, probier die access log vom server per LFI zu includen, könnstest so RCE bekommen (php code exec natürlich) sprich LFI2RCE alternativ in /tmp/ haste sicher schreibrechte, dort was dropen und per LFI includen.