Старый 20.01.2015, 20:04   #3361
Rus
 
Регистрация: 15.01.2015
Сообщений: 1
Репутация: 0
По умолчанию

Приветствую, нужен совет...
Есть telnet'овый root доступ на видеорегистратор, на котором есть web интерфейс(сервер). Я хочу добавить чуток (<script> src="..."<\script>) кода в одну из страниц, но проблема в том, что папка с web'ом /dev/mtdblock3 on /mnt/web type cramfs (ro,relatime).
Нужная папка web. Но в нее хер че запишешь. Монтирование, перемонтирование не помогает, пытался залить скрипт по совету гугла, который вроде как должен был помочь, но через telnet это гиблое дело, wget'a там нет. Все это крутиться под busybox и ARM. Че можно сделать?
И второй вопрос, как можно пробросить порт на этом устройстве что-бы локалку просканить?

[root@LocalHost /]$ mounts
rootfs on / type rootfs (rw)
/dev/root on / type cramfs (ro,relatime)
proc on /proc type proc (rw,relatime)
sysfs on /sys type sysfs (rw,relatime)
tmpfs on /dev type tmpfs (rw,relatime)
devpts on /dev/pts type devpts (rw,relatime,mode=600,ptmxmode=000)
/dev/mtdblock2 on /usr type cramfs (ro,relatime)
/dev/mtdblock4 on /mnt/custom type cramfs (ro,relatime)
/dev/mtdblock5 on /mnt/logo type cramfs (ro,relatime)
/dev/mtdblock6 on /mnt/mtd type jffs2 (rw,relatime)
/dev/mem on /var type ramfs (rw,relatime)
none on /proc/bus/usb type usbfs (rw,relatime)
/dev/mtdblock3 on /mnt/web type cramfs (ro,relatime)

СПИСОК ДОСТУПНЫХ КОММАНД:

3gpd-DIAL chat encryption_wpa2_psk_tkip.sh ln passwd sync
3gpd-disc chmod encryption_wpa_psk_aes.sh load-modules.sh ping tail
3gpd-td chown encryption_wpa_psk_tkip.sh login poweroff tar
3gpd-wcdma cp env ls ppp-on telnet
BurnHWID cttyhack false lsmod ppp-on-qisda telnetd
BurnSataHub date fdisk macGuarder ppp-on-y test
ProductDefinition dd free mesg pppd_3g time
Sofia.tar.lzma df getty mkdir ps timecheck
Squirrel/ dirname halt mkdosfs pwd top
[ dmesg head mkfs.vfat reboot topsofia
[[ dogtest hexdump mknod reset touch
app du himm mnt rm true
arping dvrHelper hush mount rmdir udevd
ash dvrbox hwclock msh rmmod udevstart
awk echo ifconfig mv route umount
basename encryption_open_none.sh init netinit routedaemon unrar
beep encryption_open_wep.sh insmod netstat sed usb3GID.conf
busybox encryption_share_wep.sh kill nfs sh
cat encryption_wpa2_psk_aes.sh killall ntfs-3g sleep

Последний раз редактировалось Rus; 20.01.2015 в 20:21..
Rus вне форума   Ответить с цитированием
Старый 25.01.2015, 02:03   #3362
QaRTiN
 
Регистрация: 22.08.2010
Сообщений: 54
Репутация: 0
По умолчанию

ребят,хэлп

такая ситуация: жертва на сервере c nginx,есть аплоад файлов(любых в любую папку) и читалка файлов

проблема в том,что для единственной папки доступной из-под веба для записи,в конфиге nginx'a прописано такое:
Код:
location ~* .*papka.* {
                location ~ \.php$ {
                      return 404;
                }
                try_files $uri =404;
        }
phtml не канает,предлагает скачать

собссно,как можно выполнить код?
QaRTiN вне форума   Ответить с цитированием
Старый 25.01.2015, 02:44   #3363
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

ну не знаю, а что будет, если .php.ololo? Хотя про двойные расширения в nginx не в курсе
Pashkela вне форума   Ответить с цитированием
Старый 25.01.2015, 03:39   #3364
QaRTiN
 
Регистрация: 22.08.2010
Сообщений: 54
Репутация: 0
По умолчанию

Цитата:
Сообщение от Pashkela Посмотреть сообщение
ну не знаю, а что будет, если .php.ololo? Хотя про двойные расширения в nginx не в курсе
предлагает скачать(
QaRTiN вне форума   Ответить с цитированием
Старый 25.01.2015, 11:51   #3365
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

Для nginx я помню всего 2 баги, позволяющие выполнить php код в обход ограничений

1) CVE-2013-4547

Когда грузите файл php_ (подчёркивание=пробел)

Подробнее тут

2) И ещё одна бага 2010 года, CVE не смог найти

Когда грузите шелл как картинку и исполняете методом .gif/.php

Подробнее тут

Второй скорее всего не подойдёт. Первый попробуй.
__________________
Первый VPN на основе Эллиптической криптографии. Телепортируйся в любой момент, будь невидимым с multi-vpn.biz
И да, это реклама. Просто очень нужен VPN.
BigBear вне форума   Ответить с цитированием
Старый 25.01.2015, 17:56   #3366
QaRTiN
 
Регистрация: 22.08.2010
Сообщений: 54
Репутация: 0
По умолчанию

Цитата:
Сообщение от BigBear Посмотреть сообщение
Для nginx я помню всего 2 баги, позволяющие выполнить php код в обход ограничений

1) CVE-2013-4547

Когда грузите файл php_ (подчёркивание=пробел)

Подробнее тут

2) И ещё одна бага 2010 года, CVE не смог найти

Когда грузите шелл как картинку и исполняете методом .gif/.php

Подробнее тут

Второй скорее всего не подойдёт. Первый попробуй.
1)Гружу в папку файл "file[пробел]" c любым php-кодом,затем в консоли:
Код:
echo -e "GET /papka/file \0.php HTTP/1.1\r\nHost: www.host.com\r\n\r\n" | nc -w 1 host.com 80
и мне выдает:

Код:
HTTP/1.1 403 Forbidden
Server: nginx/1.4.1
Date: Sun, 25 Jan 2015 15:27:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/5.4.13--pl0-gentoo

f
Access denied.

0
серв уязвим? т.к. замени я "... /papka/file \0.php ..." на "... /papka/file \0.htm ..." - в ответ мне придет HTTP/1.1 200

2) не сработало

nginx/1.4.1
пробывал .php2,.php3,.phps,.phtml,.php_

P.S. на сервере так же есть Zen Cart v1.3.8a и Crafty Syntax Live Help 3.3.6 - может кто знает про LFI или RCE на этих цмс)

Последний раз редактировалось QaRTiN; 25.01.2015 в 18:34..
QaRTiN вне форума   Ответить с цитированием
Старый 26.01.2015, 23:58   #3367
romashka_sky
 
Регистрация: 01.10.2011
Сообщений: 33
Репутация: 8
По умолчанию

Цитата:
Сообщение от QaRTiN Посмотреть сообщение
ребят,хэлп

такая ситуация: жертва на сервере c nginx,есть аплоад файлов(любых в любую папку) и читалка файлов

проблема в том,что для единственной папки доступной из-под веба для записи,в конфиге nginx'a прописано такое:
Код:
location ~* .*papka.* {
                location ~ \.php$ {
                      return 404;
                }
                try_files $uri =404;
        }
phtml не канает,предлагает скачать

собссно,как можно выполнить код?
Если nginx работает как реверс-прокси для, например, Apache, то можно попытать счастья - просканировать открытые порты, возможно, Apache доступен на другом порту(81, 8000, 8080, 8888, etc.) и позволит выполнить php.
romashka_sky вне форума   Ответить с цитированием
Старый 29.01.2015, 21:42   #3368
Shadowfolder
Banned
 
Регистрация: 25.01.2012
Сообщений: 26
Репутация: -8
По умолчанию

Подскажите плиз. Есть sqli в postgresql. Метод time based, из-за очень долгого кручения вообще не могу найти данные аккаунтов сайта... Бд только 3.
information_schema, pg_catalog, public и все.. В pg_catalog-e данных не нашел, что мне нужны. А в public-e таблиц аж >500шт. Всех их крутить уйдет вечность. И у всех такие имена.
t018djfhv
t0oslkajs и т.д.
Вопрос, данные аккаунтов могут содержаться в postgresql вообще, может быть кому встречалось такое? Двиг на php если что. А то думаю кручу ли я зря, вдруг в postgresql обычно мусор, а например данные аккаунтов стоят на зафильтрованной внутренней mysql базе.
Shadowfolder вне форума   Ответить с цитированием
Старый 30.01.2015, 12:40   #3369
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

уверены, что там возможно крутить только с помощью time-based?
конечно, могут.
faza02 вне форума   Ответить с цитированием
Старый 13.02.2015, 13:15   #3370
nickcerdito
 
Аватар для nickcerdito
 
Регистрация: 11.07.2012
Сообщений: 16
Репутация: 7
По умолчанию

Какие есть варианты для инъекции в запросе
Код:
SELECT param1 FROM table where param2=1 LIMIT [SQL]
если фильтруется union и подавляется вывод ошибок?
Промучался час и ничего не придумал. В procedure analyse можно каким-то образом влепить SLEEP()?
nickcerdito вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot