НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

взлом
curl "http://site.com/index.php?page=
../../../../../../../../var/mail/wwwdata&cmd=phpinfo();"
Также, стоит отметить, что mail-файл будет доступен только
тому юзеру, кому и предназначено письмо (то есть, апач
должен быть обязательно запущен под тем же пользователем).
NULL-БАЙТ ОТДЫХАЕТ
Снова включи воображение и представь, что все
вышеописанные способы отлично работают, но
уязвимое приложение содержит на этот раз следующий
код:
Как быть? Можно проинклудить логи, но в конце дописывается
не обрезаемое обычным %00 расширение «.php».
На этот раз тебе поможет фича (или все-таки уязвимость?)
самого php, обнаруженная юзером популярного забугорного
хакерского форума sla.ckers.org со странным ником
barbarianbob.
Фича заключается в том, что интерпретатор php во
время обработки пути до какого-либо файла или
папки обрезает лишние символы «/» и «/.», а также, в
зависимости от платформы, использует определенное
ограничение на длину этого самого пути (ограничение
хранится в константе MAXPATHLEN). В результате, все
символы, находящиеся за пределами этого значения,
отбрасываются.
Теперь давай подробней рассмотрим этот вектор LFI, обратившись
к уязвимому скрипту следующим образом:
curl "http://site.com/index.php?page=../../..
/../../../../../proc/self/environ///////////
[4096 ñëåøåé]////////&cmd=phpinfo();" -H
"User-Agent: "
Наш любимый phpinfo(); выполнится успешно из-за нескольких
причин.
1. Инклуд в самом скрипте примет следующий вид –
XÀÊÅÐ 07 /127/ 09
2. Так как наш путь получится гораздо длиннее, чем
MAXPATHLEN (кстати, необязательно он будет равен
именно 4096; в винде, например, он может быть равен
всего лишь 200 символам с хвостиком, — советую на каждой
системе тестить это значение отдельно), то символы,
находящиеся в конце пути (в данном случае — некоторое
количество слешей и «.php»), интерпретатор php, не спрашивая
ни у кого разрешения, успешно отсечет.
3. После пункта «2» наш код примет примерно такой вид:
Как тебе уже известно, лишние слеши в конце пути
услужливый php также обрежет, и наш злонамеренный
код, в конце концов, превратится во вполне
рабочий LFI!
Для теста количества слешей для использования в данной
уязвимости на своем сервере советую попробовать следующий
php-скрипт.
if($its_work=='1')
{
print 'Èñïîëüçîâàíî ñëåøåé: '.$i;
}
break;
Рядом со скриптом просто положи файл work.txt с записанной
в нем единичкой.
Если инклуд произошел успешно, скрипт выведет тебе
количество слешей, использованных для этого самого
инклуда.
Для полноты понимания технических сторон данного бага
советую очень внимательно изучить соответствующие
ссылки в сносках.
И НАПОСЛЕДОК...
Как видишь, прогресс в ресерчинге уязвимостей не
стоит на месте. Новые баги находятся уже не в phpскриптах,
а в самом интерпретаторе php! То, что раньше,
казалось, взломать невозможно, сейчас представляется
не более чем детской шалостью и развлечением
для матерого хакера. Null-байт уже практически канул в
лету, инклуд логов апача обрастает новыми изощренными
методами, RFI становится доступным через протоколы,
отличные от ftp и http... Что дальше? Поживем — увидим.
Естественно, в наших рубриках :). z
INFO
info
• Спасибо Античату за
раскопки описанных
уязвимостей.
• LFI/RFI или просто
«Local/Remote File
Include» — наиболее
часто встречающаяся
уязвимость в phpскриптах.
WARNING
warning
Внимание! Информация
представлена
исключительно
с целью ознакомления!
Ни автор, ни
редакция за твои
действия ответственности
не несут!
DVD
dvd
• Все скрипты
и примеры инклудов,
упоминающихся
в статье, ищи на
диске.
• На диске ты найдешь
увлекательный видеоурок,
позволяющий на
практике увидеть перечисленные
в статье
способы инклуда.
063