Локальный include как способ получть шелл

Discussion in 'Уязвимости' started by Goudini, 1 Sep 2006.

  1. Goudini

    Goudini Elder - Старейшина

    Joined:
    7 Jun 2006
    Messages:
    135
    Likes Received:
    134
    Reputations:
    91
    Получение шела при локальном инклуде

    Часто когда находится уязвимость локального инклуда, но паролей от базы данных нет, или есть, но к фтп не подошли, а база пускает только с localhost, дополнительные дыры в скриптах не найдены.... Казалось бы всё пропало, но если есть доступ к файлу журналов Веб-сервера access.log или error.log, можно получить шелл

    Запускаем telnet localhost 80

    Теперь в файле останется запись похожая не эту
    Как видите всё передалось в чистом виде.
    Теперь если к основному скрипту подключить файл логов, то возможно он будет выполнен как php-код
    Смотрим.. Вуаля
    Можем выполнять команды.
    Для решения данной уязвимости, нужно разрешить просмотр конфигурационных файлов только пользователю root
     
    #1 Goudini, 1 Sep 2006
    Last edited: 1 Sep 2006
    5 people like this.
  2. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    544
    Likes Received:
    106
    Reputations:
    54
    интересная идея.
    но мне кажется, что редко где файл log обрабатывается как .php
     
  3. k1b0rg

    k1b0rg Тут может быть ваша реклама.

    Joined:
    30 Jul 2005
    Messages:
    1,204
    Likes Received:
    399
    Reputations:
    479
    да хоть расширение bmp будет, он его обработает как php код.

    Действительно идея интересная, но как на практике она работает, хз.
     
  4. max_pain89

    max_pain89 Eat `em UP!

    Joined:
    11 Dec 2004
    Messages:
    476
    Likes Received:
    140
    Reputations:
    146
    способ стар как мир, просто мало о нем кто думает в первую очередь...

    уже давно сплойты перебирают всевозможные локации логов.
    http://securityreason.com/exploitalert/1100
    часто есть права на чтение /etc/httpd/conf/httpd.conf или /etc/apache/conf/httpd.conf, ну или /etc/apache2/conf/httpd.conf


    Парни не забываем, что если еррор лог (или акцесс) больше максимального размера (установленного в настройках пхп) то появится лишь ошибка класса warning
     
    1 person likes this.
  5. m0nzt3r

    m0nzt3r моня

    Joined:
    22 Jun 2004
    Messages:
    2,139
    Likes Received:
    672
    Reputations:
    591
    макс_пейн прав..взгляните на сплойты на милворме..особенно от ргод-а.Там тоже перебираюца логи, только у мя никогда не пахало(( много ждал.Почти весь массив перебирал))
     
  6. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    474
    Likes Received:
    248
    Reputations:
    189
    Об этом способе получения шелла не так часто пишут, а в сплоитах он и правда время от времени встречается.
    Несколько подробнее про это можно почитать, к примеру, в статье n4n0bit'а вот здесь: _http://hellknights.void.ru/articles/0x48k-phpinclandinjattacks.html
     
    #6 Digimortal, 20 Sep 2006
    Last edited: 20 Sep 2006
  7. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    484
    Likes Received:
    330
    Reputations:
    389
    Давно читал эту статью в papers на milworm.
    P. S. 80% логи не доступны для чтения пользователю под которым запущен веб-сервер.
     
  8. Sw%00p

    Sw%00p Banned

    Joined:
    13 Apr 2006
    Messages:
    59
    Likes Received:
    8
    Reputations:
    8
    ну одно и тоже если мы пихнём в картинку пхп код и зальём на сервак в галлерею к примеру и через локальный инклуд експлуатируем
    а если обычно запускать ну конечно же он будет обрабатываться как обычная картинка или лог файл просто
     
Loading...