المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : [ شرح ] تحويل ثغره الوكال فايل انكلود الي ثغرة تطبيق اوامر | include file -> RCE


alcrackr
08-06-16, 01:02
السلام عليكم ورحمة الله وبركاته
كيف حالكم ان شاء الله بخير

طبعا الجميع يفكر شو بيقصد تحويل ثغره الوكال فايل انكلود

اول شي خلونا ناخذ تعريف بسسسيط عن الثغرة :smilies23:
طبعا ثغره الوكال فايل انكلود
تخليك تقراء اي ملف passwd
config < الموقع المصاب وتقدر تستدعي ملف proc و ترفع عن طريقه شيل
لكن الان مع تطور و تقدم اصبح قليل تلقاء ملف proc وترفع شيلك :smilies34:

طبعا معنا كود مصاب بسيط جدا
الي هو ذا

كود PHP:



توضيح للكود الي فوق ( للي مايعرف للبي اتش بي او مايفهم فيها )
اول حاجه متغير $thamer =$_GET['file'];
طبعا وضعنا داخله قيمة GET والي هي file
طريقه استعراض ال Get
vul.php?file=
جميل نروح اللي بعده
$includefile= include($thamer);
هناء سوينا متغير اسمه انكلود فايل
هاذا المتغير استخدمنا داخله دالة الانكلود الي هي تستدعي لك الملف وللعلم توجد اكثر من دالة تقوم نفس عملها
مثل : require
و غيرها الكثير
نروح للي بعدها
echo $includefile;
هناء قلت له اطبع لي ناتج استدعاء الملف
مثلا
vul.php?file=test.txt
لو يوجد ملف test.txt بنفس مسار الملف المصاب قراءة و جاب الي بداخله لو بتقراء ال passwd
../../../../etc/passwd < على حسب المجلد
على سبيل المثال
اقتباس:
/home/vul/public_html/include/th/vul.php
هناء مسار الملف المصاب ومسار ال passwd وين
اقتباس:
/etc/
كيف نفتحه هناء
كود PHP:
/home/vul/public_html/include/th/



ننفذ امر
vul.php?file=../
الان لما وضعنا هذي رجعنا للوراء الي هو الان نحنا بمجلد ايش
include خرجنا من مجلد th الان نبي نرجع للوراء لين مجلد etc كم يحتاج لنا من ../
يحتاج لنا 5
vul.php?file=../../../../../etc/passwd
وراء يقراء معنا وبعض الحيان تلقائي لو تضع له
/etc/passwd يقراء لك
لكن الان موضوعنا مو عن هاذا ابد بس حبيت اوضح للي مو فاهم الثغره : )

نبدا بشرحنا : )

اول حاجه فيه عائق الطريقتنا

الي واهو اعدادات السيرفير

على حسب سيرفير اذا كان عامل سماح allow_url_include و مخليه On هناء تقدر تخليها ثغره كوماند تطبيق الاوامر
allow_url_include=On

طبعا نحنا راح نطبق على سيرفيرنا شخصي حبيبنا "

طبعا هناء فتحت الكونفق php.ini و عدلت عليه خليته On طبعا تلقاء سيرفيرات مخليته On و بعضها Off
وبعد ماتحفظ الاعدادات سو ريستارت للاباتشي

http://store1.up-00.com/2016-08/1470436870952.jpg (http://store1.up-00.com/2016-08/1470436870952.jpg)

تلاحظ هناء جاء لنا خطاء هذي تترك البارمتر فاضي ماتستدعي شي راح يجيك اخطاء و يعلمك المسار و كذا كامعلومات لك :smilies34: طبعا الاخطاء ذي تقدر تمسكها لو المبرمج ضايف مانع الاخطاء بتعبير العامي
error_reporting(0);
ماراح يظهر لك شي صفحة بيضاء لكن لو ماضاف error_reporting(0);
راح تجيك الاخطاء

http://store1.up-00.com/2016-08/1470436870983.jpg (http://store1.up-00.com/2016-08/1470436870983.jpg)

طبعا هناء نشفر كودنا بال base64

طبعا خلاصة الفكرة ان الكود يعرض كانه صورة لان بعض المبرمجين
يحب يحط لوقو الشيل حقه او سكربت حقه لكن مايبي يحطه url يخاف يوقف الموقع و و و
فاهناء فيه مواقع تسمى convert images base64
تحول لك صورة الي base64
كاسبيل المثال
كود PHP:
header('Content-Type: image/png');
echo(base64_decode('base64 here'));



وتظهر صورة بدال مايضعها url ورابط خارجي و يمكن الموقع يتوقف و هيك الفكرة متلخصه من هطريقه :smilies34:

http://store1.up-00.com/2016-08/1470436871014.jpg (http://store1.up-00.com/2016-08/1470436871014.jpg)

طبعا هناء بعد تشفير كودنا الا php

يتم استدعاء كودنا بالامر التالي

data:;base64,here base64
وراح يتنفذ كاصوره
http://store1.up-00.com/2016-08/1470436871045.jpg (http://store1.up-00.com/2016-08/1470436871045.jpg)

زي مانتو شايفين جاب لنا phpinfo()
الان بنشوف الملفات

http://store1.up-00.com/2016-08/1470436871076.jpg (http://store1.up-00.com/2016-08/1470436871076.jpg)

نسوي كود تنفيذ اوامر الي وهو بدالة سيستم نخليه يظهر لنا الملفات بامر dir
ولكن راح ياتي لك واحد ذكي و يقول لك ي ثامر لو كان معطل دالة سيستم وش اسوي جنبه
# شطحه
# خذ معه سلفي ههههههههههه امزح
طبعا هناء بكل سهوله تسوي لك كود بي اتش بي تخليه يفتح لك ملف باسم على سبيل المثال thamer.php وتخليه يحط داخل الملف كود شيلك او مركز رفعك
كلها سهله عن طريق دوال fopen - fwrite - fclose
وممكن استخدام دالة fputs بدال fwrite كل شخص و تفكيره
http://store2.up-00.com/2016-08/1470437757441.jpg (http://store2.up-00.com/2016-08/1470437757441.jpg)

طبعا هناء قراءنا وش داخل المجلد و خلينها RCE و استمتع ي قدع : )

وباذن الله اذا لقيت فرصة بسوي شرح بالفيديو و اضعه بالموضوع

الي هناء وصلنا الي نهاية شرحنا

كان معكم اخوكم و محبكم دوما
ثامر الحربي

و السلام عليكم ورحمة الله وبركاتهjp,dg eyvi hg,;hg thdg hk;g,] hgd eyvm j'fdr h,hlv | include file -> RCE

egyme
10-12-16, 14:33
تعامل مع
egymedotcom