Ok, giờ giả sử chúng ta đã có 1 con shell trên sv. Chúng ta bắt đầu vào việc nào
Trước tiên chúng ta xem sv này có những site nào.
1 số dịch vụ check Reverse IP free như:
http://www.ip-adress.com/reverse_ip/
http://domainsbyip.com ….. còn nhiều nữa ….
I/ Trường hợp dễ nhất, sv chưa config bảo mật gì hết
Chúng ta hãy nhìn hình bên dưới đây:
IMG ERROR
Chúng ta thấy gì nào:
Safe_Mode: OFF Open_Basedir: NONE Safe_Exec_Dir: /usr/bin Safe_Gid: OFF Safe_Include_Dir: NONE Sql.safe_mode: OFF
PHP version: 5.2.13 cURL: ON MySQL: ON MSSQL: OFF PostgreSQL: OFF Oracle: OFF
Disable functions : NONE
Vậy tức là sever này không config gì cả.
Vậy thì chúng ta có thể chạy các lệnh cơ bản như sau:
cat – lệnh để đọc file, cấu trúc cat <đường dẫn file trong sv> VD:cat
dir – lệnh này có tác dụng chuyển đường dẫn thực thi, có dạng dir <đường dẫn>
cd – lệnh này có tác dụng chuyển đổi thư mục, có dạng cd
Vậy thì ko có gì khó nữa rồi. Chúng ta bắt đầu chạy lệnh đầu tiên:
cat /etc/passwd -> Bấm execute
Trong1sốtrườnghợpkhôngđược,bạnhãythử:less
………
1 danh sách lù mù bắt đầu hiện ra. Ồ, hay ghê. Bắt đầu nhìn kĩ nào
Kéo xuống
Kéo xuống
À à…. bên dưới bắt đầu xuất hiện những dòng dạng như:
user_name_cua_victim :1076:1076ystem User for user_name_cua_victim:/home/user_name_cua_victim/:/sbin/nologin
Vậy là xong rồi, bây giờ bạn đã biết user name của victim là gì, suy ngay ra đường dẫn tới nhà của nó. Việc còn lại là đọc file config của victim bằng lệnh:
cat /home/user_name_cua_victim/public_html/config.php
Sau khi có được được thông tin về CSDL của victim rồi, bạn có thể chiếm quyền admin và Deface website của hắn
II/ Trường hợp SV bật Safemode=0ff | Vô hiệu hóa vô số hàm | Không thể chạy các lệnh cơ bản được !
Ây chà, sau khi bạn thấy sv như vậy, ko thể chạy kác lệnh cơ bản này nữa.
Theo mình thì đầu tiên hãy thử vận may với phương pháp: Local viaSQL
Tiến hành thế nào ???
Tuy sv ko cho view file từ site khác nhưng với quyền hạn của con shell, chúng ta vẫn có thể view file của site chứa con shell đó.
Vậy ! Chúng ta hãy tìm tới file config của site (Trong shell có chức năng change Work directory và edit file. Bạn hãy thay đổi đường dẫn phù hợp để đọc được file config) và đăng nhập vào CSDL của site qua con chức năng của con shell. Kéo xuống sẽ có giống như hình bên dưới:
Xong, sau khi chúng ta đã login thành công được vào CSDL. Đầu tiên chúng ta hãy creat 1 Table riêng cho tiện. Cấu trúc để chạy như sau:
create table daica (dc varchar(1024));
(bạn thay đổi “daica” và “dc” cũng đc)
Sau đó chúng ta chạy tiếp lệnh:
load data local infile ‘/etc/passwd’ into table daica
Cónghĩalà:Tảidữliệutừ: /etc/passwd là gì thì bên trên bạn đã thấy ồi đúng ko, nó có tác dụng liệt kê danh sách user trong server.
Nếu SV cho phép chạy lệnh này. Thì data sẽ được load vào table của chúng ta. Giờ hãy chạy lệnh:
select * from daica
( Có nghĩa là: chọn ra tất cả từ table(bảng) daica )
Ồ !!! Thấy gì nào !!! Nó lại hiện ra giống như lúc chúng ta chạy lệnh cat /etc/passwd
OK ! Giờ chúng ta lại xác định được user rồi. Chúng ta sẽ load dữ liệu từ file cần đọc về table của chúng ta.
Câu lệnh tương tự: ( Theo mình nên creat table mới cho tiện)
load data local infile ‘/home/username/public_html/config.php’ into table daica
Rồi bây giờ chỉ việc view table đó sẽ thấy file thôi.
!!! KẾt thúc !!!
**************************************
Giờ đến trường hợp SV của chúng ta không cho phép thực thi những lệnh trên !!!
Làm thế nào đây. Cách đầu tiên chúng ta nghĩ tới đó là sẽ hạ Safemode xuống để sv trở về dạng 1. Cách làm như thế nào?
Bạn tạo 1 file: php.ini có nội dung như sau:
safe_mode = off
disable_function = none
Sau đó up lên folder của con shell…… và xem kết quả …… Ồ !!! Đúng là nó về dạng 1 thật nếu sv cùi thì sau khi bypass safe mode như vậy, chúng ta lại có thể thực thi những lệnh cơ bản như bình thường.
Nhưng nếu không thì sao !!!
Nếu không, bạn hãy nghĩ ngay đến 1 cách nữa rất hữu hiệu. Đó là: SymLink
Symlink là gì ? Nó viết tắt của symbolic link ! Nó sẽ giống như chúng ta tạo 1 shortcut trên window vậy, giúp chúng ta view đc file. Câu lệnh của nó như sau:
ln -s <đường dẫn tới file cần đọc> <đường dẫnfile được ghi>
Ví dụ: ln-s /home/user/public_html/config.php daica.txt
0
Tới đây thì các bạn cũng hiểu rồi chứ ! lại bắt đầu nào:
ln-s /home/user/public_html/config.php daica.txt
http://sitecuavictim.com /duongdanfoldershell /daica.txt
Nếu view được thì thôi ko sao. Nếu nó lại báo lỗi: 403 thì hãy thử:
Upload 1 file .htaccess lên ngang hàng con shell có nội dung:
Options FollowSymLinks
DirectoryIndex seees.html
Options Indexes
-> sau đó view lại xem
************************************************** **xong
Vậy tất cả các cách trên đều không được nữa !!! Thì sao !!! Chà ! Tới đây chúng ta sẽ thử sử dụng 1 source shell khác, đó là shell cgi, perl ( shell có đuôi .cgi .pl )
Đầu tiên hãy upload file shell .cgi hoặc shell.pl lên ( Các bạn có thể lấy shell này từ : )
Sau đó chmod 755 cho con shell này
Và chạy nó ……………………
Nếu chạy được !!! thì quá tuyệt rồi. Các bạn có thể dùng các lệnh cơ bản giống như trường hợp 1 -> xong film