• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Dle 9 + web shell

Brett Hagen

Member
15.11.2020
11
0
BIT
0
Пролез все таки в админку Dle Engine 9 (цель заливка web shell) , разрешил загрузку php , файл принимает но не разрешает загрузку скрин ниже:

dllhost_m8VxmWACXx.png

Пошел значит копать дальше, нашел редактирование шаблона, имеет не понятное мне расширение .tpl 🤷‍♂️ возможно ли внедрение shell кода в данный шаблон? (по логике выбрал main.tpl кажется туда надо вносить код если что и вносить)

chrome_Wk1Hx3KlP8.png

p.s.
может имеются другие способы заливки шелла через админку dle ?
 

Brett Hagen

Member
15.11.2020
11
0
BIT
0
Судя по тому, что внутри есть html, то да, можно попробовать.
Интересно, а каким образом ? Что то я перелазил весь гугл, подставил через {php}{/php} в код шелл как пишут на хабре не работает 😒 Пробовал через {include file="shell"} как в старой статье на antichat тоже не работает . Если кто то знает как внедрить в tpl web shell plz откликнитесь.
 

Brett Hagen

Member
15.11.2020
11
0
BIT
0
А может попробовать другим путем пойти?
Например сплойтом:
К стати да , че то совсем забыл про сплойт этот. Как только пробился в админку озадачился тупо заливкой shell.

спустя 20 минут .....

[*] Exploit completed, but no session was created.
 
Последнее редактирование:

polunochnik

Green Team
30.05.2019
69
3
BIT
0
К стати да , че то совсем забыл про сплойт этот. Как только пробился в админку озадачился тупо заливкой shell.

спустя 20 минут .....

[*] Exploit completed, but no session was created.
А ОС какая? Если винда, то надо с eval поиграться, можно попробовать на system или passthru заменить, также может быть проблема с путями (в виндах нужно полный путь указывать).
А так надо на запросы и ответы пристально посмотреть, через бурп например.
 

polunochnik

Green Team
30.05.2019
69
3
BIT
0
Перехватил ответ сервера [Burp do intercept] при загрузке фотки , типо successful итд :

Посмотреть вложение 45429

Сохранил и поменял расширения на php файла который webshell и при загрузке которого ответ сервера возвращал ошибку, отправил обратно серверу уже с successful кодом выше и вуаля:

Посмотреть вложение 45430

Думаю кто крутой хакер ? Я крутой хакер .... думал я так ровно одну минуту, так как при обновлении сайта файлик на php пропал 😒

[PS]

Редактирование ответа сервера не гарантирует его выполнения на его стороне ? это просто пустая болванка то что мы рисуем в ответе ? или я что то не доделал?
"Редактирование ответа сервера" наверное редактирование запроса. Это правельное направление, по пути к шелу, который вернулся в ответе сервера файл должен лежать, возможно там присутствует пост обработка, натыкался в Drupal на такое, посмотри исходники DLE. Можно также попробовать добавить в имя шелла (в intercept) "../".
Можно кстати ещё попробовать rce на php 2019 года, номер не помню.
 

Brett Hagen

Member
15.11.2020
11
0
BIT
0
"Редактирование ответа сервера" наверное редактирование запроса. Это правельное направление, по пути к шелу, который вернулся в ответе сервера файл должен лежать, возможно там присутствует пост обработка, натыкался в Drupal на такое, посмотри исходники DLE. Можно также попробовать добавить в имя шелла (в intercept) "../".
Можно кстати ещё попробовать rce на php 2019 года, номер не помню.
Именно редактирование ответа сервера, есть вкладка do intercept которое позволяет редактировать то что сервер отвечает в моем случае при загрузке файла которое я заменил с негативного на успешное и файл отобразился как залитое но потом исчез( в связи с чем возник вопрос do intercept это пустая болванка как редактирование кода в браузере или я что то не учел и не доделал?)


Do intercept:


java_yUYkjN8Wdo.png

Негативный ответ сервера на залитый php (который впоследствии будет заменен на позитивный ответ от загрузки png естественно с заменой всех шильдиков от png на php):

AnDaNChEV9.png

java_5CSFanSNNN.png


И фигак файл на борту:

u8F72ViqZ4.png

Казалось бы но при обновлении страницы он пропадает 😒

Можно также попробовать добавить в имя шелла (в intercept) "../".
Можно кстати ещё попробовать rce на php 2019 года, номер не помню.
Расскажи подробнее два этих момента plz
 

polunochnik

Green Team
30.05.2019
69
3
BIT
0
Расскажи подробнее два этих момента plz

При отправки файлов ставим имя что то типо "../img.xxx", если нет защиты, то файл например запишет я не в "www/htdoc/upload", а в "www/htdoc".

 

Brett Hagen

Member
15.11.2020
11
0
BIT
0
При отправки файлов ставим имя что то типо "../img.xxx", если нет защиты, то файл например запишет я не в "www/htdoc/upload", а в "www/htdoc".

С гита скрипт не работает ну не пробивает короче жертву.
Интересно , а в бюрп можно подменой заголовка залить файл в другую папку ?
 

Brett Hagen

Member
15.11.2020
11
0
BIT
0
Шелл на базе
Код:
Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips mod_fcgid/2.3.9 PHP/7.1.33
Если по dle возникнут вопросы обращайтесь ))))
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!