RDot

RDot (https://rdot.org/forum/index.php)
-   Web-среда/Web-applications (https://rdot.org/forum/forumdisplay.php?f=9)
-   -   Работа шеллов (https://rdot.org/forum/showthread.php?t=3433)

nomad 15.05.2015 16:14

Работа шеллов
 
Имеется сервер Linux 2.6.31.5, PHP/5.3.3 Apache/2.2.0.
Шелл WSO 2.5 (оригинал или любая из модификаций) выводит окошко для ввода пароля, после введения верного пароля Not Found. Шелл от profexer работает. Disabled functions пусто. Где искать проблему?
PS WSO1 тоже Not found

Boolean 15.05.2015 17:50

Цитата:

Сообщение от nomad (Сообщение 38528)
Имеется сервер Linux 2.6.31.5, PHP/5.3.3 Apache/2.2.0.
Шелл WSO 2.5 (оригинал или любая из модификаций) выводит окошко для ввода пароля, после введения верного пароля Not Found. Шелл от profexer работает. Disabled functions пусто. Где искать проблему?
PS WSO1 тоже Not found

Может стоит подебажить например? Повтыкать банальных
PHP код:

echo __LINE__

и посмотреть на каком этапе отваливается.

omen666 15.05.2015 19:32

Цитата:

Сообщение от nomad (Сообщение 38528)
Имеется сервер Linux 2.6.31.5, PHP/5.3.3 Apache/2.2.0.
Шелл WSO 2.5 (оригинал или любая из модификаций) выводит окошко для ввода пароля, после введения верного пароля Not Found. Шелл от profexer работает. Disabled functions пусто. Где искать проблему?
PS WSO1 тоже Not found

Код:

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}


Beched 15.05.2015 19:46

Гы, яндекс-браузер в бане

nomad 15.05.2015 21:48

Не понятно, после авторизации, даже если первой строкой echo __LINE__ прописать, - просто Not found выводит.

Boolean 16.05.2015 10:49

Цитата:

Сообщение от nomad (Сообщение 38536)
Не понятно, после авторизации, даже если первой строкой echo __LINE__ прописать, - просто Not found выводит.

Проблема только при самом POST запросе? Если ручками добавить авторизационные cookies, то проблема остается?

nomad 16.05.2015 11:20

Цитата:

Сообщение от Boolean (Сообщение 38539)
Проблема только при самом POST запросе? Если ручками добавить авторизационные cookies, то проблема остается?

Добавлял куки ручками, проблема осталась

Pashkela 16.05.2015 14:50

1. Ну дык попробуй пароль удалить и зайти на шелл без пароля
2. Загрузи wso через другой шелл и посмотри, что происходит (например, попробуй его отредактировать в другом шелле)

nomad 16.05.2015 16:46

Цитата:

Сообщение от Pashkela (Сообщение 38541)
1. Ну дык попробуй пароль удалить и зайти на шелл без пароля
2. Загрузи wso через другой шелл и посмотри, что происходит (например, попробуй его отредактировать в другом шелле)

1. Пробовал - сразу 404 ошибка прилетает.
2. Редактировать через PAS шелл - обычно выдает 501 ошибку. Через шелл от команды itsecteam.com - тоже ошибка (уже не помню какая)

Авторизация проходит абсолютно нормально, куки пишутся, но после нее сразу "Not found".


Ответ найден в логах:
Код:

[Sat May 16 13:48:23 2015] [error] [client 111.222.1.2] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:<title>[^<]*?(?:\\b(?:(?:c(?:ehennemden|gi-telnet)|gamma web shell)\\b|imhabirligi phpftp)|(?:r(?:emote explorer|57shell)|aventis klasvayv|zehir)\\b|\\.::(?:news remote php shell injection::\\.| rhtools\\b)|ph(?:p(?:(?: commander|-terminal)\\b|remoteview)| ..." at RESPONSE_BODY. [file "/etc/httpd/modsecurity.d/modsecurity_crs_45_trojans.conf"] [line "34"] [id "950922"] [msg "Backdoor access"] [severity "CRITICAL"] [tag "MALICIOUS_SOFTWARE/TROJAN"] [hostname "site.com"] [uri "/debug.php"] [unique_id "VVcgd38AAAEAAF4qw@UAAADq"]

Boolean 17.05.2015 13:31

Цитата:

Сообщение от nomad (Сообщение 38542)
1. Пробовал - сразу 404 ошибка прилетает.
2. Редактировать через PAS шелл - обычно выдает 501 ошибку. Через шелл от команды itsecteam.com - тоже ошибка (уже не помню какая)

Авторизация проходит абсолютно нормально, куки пишутся, но после нее сразу "Not found".


Ответ найден в логах:
Код:

[Sat May 16 13:48:23 2015] [error] [client 111.222.1.2] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:<title>[^<]*?(?:\\b(?:(?:c(?:ehennemden|gi-telnet)|gamma web shell)\\b|imhabirligi phpftp)|(?:r(?:emote explorer|57shell)|aventis klasvayv|zehir)\\b|\\.::(?:news remote php shell injection::\\.| rhtools\\b)|ph(?:p(?:(?: commander|-terminal)\\b|remoteview)| ..." at RESPONSE_BODY. [file "/etc/httpd/modsecurity.d/modsecurity_crs_45_trojans.conf"] [line "34"] [id "950922"] [msg "Backdoor access"] [severity "CRITICAL"] [tag "MALICIOUS_SOFTWARE/TROJAN"] [hostname "site.com"] [uri "/debug.php"] [unique_id "VVcgd38AAAEAAF4qw@UAAADq"]


Вырежи из исходного кода шелла все, что связано с <title>, должно помочь.


Часовой пояс GMT +3, время: 11:55.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot