Foro de elhacker.net

Buenas entré a una web, y me encontré con que el upload que tenía no permitia
la subida de archivos .php intenté cambiar las cabeceras con el
http live headers pero tampoco funcionaba, entonces se me ocurrió la idea
de hacer un segundo upload por medio del primero, con la cuestión de que con el primero
suba otro upload, que es el que me permitirá subir mi archivo .php (Lo cual es la shell).
Entonces me codee mi upload con posible subida de php.





(http://shup.com/Shup/363555/nuevo-metodo.JPG)





Este es el upload original, el que no me dejaba subir mi shell por que tenia
protección contra los archivos .php




(http://shup.com/Shup/363562/nuevo-metodo.JPG)




Este upload es el que yo me codee para subir mi shell (Permitiendo la subida de .php)



Como veo que algunos no os habeis enterado os hago un esquema de como quedaría.





(http://shup.com/Shup/363570/doble-upload.bmp)




Está claro que el upload nuestro debe estar creado en un lenguaje que permita la función
de subida por el upload original (Ya sea, perl, html, etc..) el upload.html no debe mandar un archivo .php por que si no, no serviria.



Un saludo comunidad, espero que os haya gustado, por que lo que quiero es innovar un poco sobre este tema.  :drinking:



Creador: SkillmaX

Ehh?. No entendí.
PD: El nombre supongo que sería TwoUpload

Sí sería ese nombre pero es para cambiar un poco  :rolleyes:



Te hago un resumen, es una subida por el upload un upload tuyo y por tu upload
subes la shell.

What the fuck?, quede peor que al leer el POST anterior. Además como va a realizarse el upload al servidor, si es por mi upload?, un poco ilógico.

No entendistes, a ver yo entro a la web y hay un upload que no permite php ni
modificar cabeceras entonces yo me codeo un upload en asp, y lo subo por el
upload que no te deja subir php, y por hay subo la shell, ya está comprobado en varias
webs, y funciona perfecto :)



Un saludito!

Hay algo que no me queda claro, como es posible que no acepte *.php y si *.asp?(http://k53.pbase.com/v3/42/267742/1/45921570.omg.gif)

Y cuantos servidores conoces que ejecuten .asp y php a la vez? (quizás no es muy raro)
En caso de que sean varios : ¿quien es tan inteligente de dejar .asp sabiendo que es ejecutable en su servidor?

Vale, dices que esta comprobado en varias webs, es posible que hayas subido un html, pero eso es incapaz  de subir ningun archivo.

Finalmente, si te deja subir asp y además lo ejecuta, ¿por qué no subes la shell directamente en asp?

Puedes subir un upload .html tambien

Pero no sirve de nada subir solo un .html , ¿alguna vez has programado un upload?

owned.  ( a veces, es que no hay nada más que decir... )

mejor una shell en asp :P

pensaste en bypassear la comprobación??

Sí, pero no se podria, solo subi la shell, haciendo esto, de aqui el tutorial.

ps yo creo que si se puede xD

Creo que no tiene sentido...
Haber de que te vale subir un asp, es probable que te lo filtre tmb, ademas crear un propio upload?
Y otra cosa, si lo subo, cuandoa cedo a el no me lo ejecuta como codigo, si no como archivo descargable :S

Saludos

si tiene sentido, seguro comprueba que la extensión del archivo a subir no sea php... seguro con un simple if() xD

Eso tambien depende del servidor web que se este usando.

xD, puede ser, aunque naaaa dudo de que exista alguno así, o si existe, no es tan común.

A ver, esto es un FAKE. Lo que dice no se puede, es imposible. Ya lo he discutido con el en otro foro:

http://foro.infiernohacker.com/index.php/topic,15376.msg92983/topicseen.html#msg92983

Es absurdo totalmente. Os copio varias de las razones por las que no es posible:

1.- NO ES POSIBLE crear un uploader en HTML. Lo que puedes hacer es un formulario de subida de archivos (multipart form-data) que tenga el action= en el script PHP del servidor. Un formulario de subida de archivos por si solo no hace nada. Es como un formulario normal sin un action definido... El formulario SIEMPRE, tiene que estar conectado a un script (en este caso PHP) que procese dicho formulario. Por esa misma razón, para qué narices subirlo si lo puedes ejecutar desde tu propio pc?? y para qué molestarse en escribirlo si el script PHP (que está en el lado del servidor y NO PUEDES TOCARLO) va a ser el mismo??? Pues sólo tendría sentido hacer eso si hubiera un script del lado del cliente como podría ser javascript que controlase el formulario y el que hay lo único que controla es si el campo del título está vacío o no.

2.- Se trata de un LMS parecido a Moodle aunque mucho más inseguro, ya que he sacado por lo pronto 5 XSS's. He comprobado en mi servidor local que los archivos subidos se almacenan en:

/courses/nombre_del_curso/work/assig_x/

Y no en la carpeta root, que es en la que aparece tu shell. Además no es posible una manipulación de directorio gracias a esta función del script "/claroline/claroline/inc/lib/file.lib.php"


El verdadero peligro de ese LMS es el poder subir archivos html en los que se puede ejecutar javascript.

3.- La más importante: Tuve que ver el video una segunda vez para darme cuenta. El dominio en el que se hace la subida del archivo html 'www.iessietepalmas.org' no es el mismo que el dominio en el que aparece subida 'www.sonriecerronavia.cl'. Este tío es un mago! su método es tan eficaz que puede conseguir subir shells a otros servidores solo con el poder de su propia voluntad y un poco de ciencia infusa.

La aplicación controla por expresiones regulares si es un archivo php. Cualquiera de estos: php, phtml, php4, etc... Lo que pensé fue en subir un .htaccess que ejecutase los archivos phps como si fueran php. Sin embargo no es posible ya que renombra el archivo.

Bueno, no me he leído ni el post entero. Pero viendo el dibujito ese ya me hago una idea de lo que pretende, y dejando de lado el que sea un fake o no, la idea es bastante absurda...

Como ha dicho shavane, lo único que hace el formulario html es enviar un archivo a un script php que lo procesará. De modo que tú idea, solo tendría cierto sentido en un escenario así:

 - Página HTML con formulario. (upload.html)
 - El encargado de validar el tipo de archivo es javascript, una función que será utilizada antes de hacer el submit en upload.html
 - Un archivo php que almacena todo lo que se le envia (coladero.php)

Pero es igual una perdida de tiempo tu "método"; se pueden modificar cabeceras, modificar el formulario con firebug, crear un formulario en local con un action en el coladero.php, etc, etc.

Y bueno, si además se trata de un fake pues muy mal.... u_u Los reyes magos de elhacker.net te traerán carbón!

Y ya que estamos... Alguien ha subido alguna vez en un formulario un .htaccess tal que así?


Salu2!

Edito: Yep!! No ví tu última modificación shavane... xD Pensé lo mismo, pero como dices si no comprueban el nombre, lo suelen modificar, pero...

Sigo pensando que es una completa tonteria...

Saludos

Más falso (fake) que una moneda de cuero... >:(

Más falso que hacer un DoS pulsando 5 veces F5! :D

No se para que comentais si ni si quiera lo habeis probado, hacerlo bién, y me
direis si funciona o no, antes de hablar se prueba y comprueban las cosas.

Eso no es necesario porque :

• Un html solo no puede subir un archivo a un servidor. Si el action de tu upload es el mismo que el del primero y te funciona, la protección es con javascript , con lo que probablemente te funcionaría cambiando las cabeceras.
• Si puedes subir un uploader en asp y además te lo ejecuta, es mejor subir directamente una shell en asp.

Muy bien, podrías linkar aquí el video ese que linkaste en la otra página?

Pd: no he probado lo que ha dicho cgvwzq , pero parece un método muy interesante.

Me da la sensacion de que poco has tocado tu ese ataque, que haya funcionado en uno vale, pero es que ademas tal como lo explicas es imposible, enserio estoy seguro de que en tu caso ha funcionado, pero dudo que valla en las webs convencionales, ademas de nuevo metodo nada... el bypasseo del filtro y subida de shell es mas viejo que el habla...

Saludos

Se a sacado algun tutorial sobre esto???
Se puede utilizar en las webs que no permitan php, ni ningun lenguaje, menos
el html y en perl por ejemplo.

Dime cuantas webs que conoces hacen eso.

De todas formas en ese caso es mejor hacer la shell en perl.

Llevas razón también se puede hacer una shell en perl, pero.. vas a estar
programando si la quieres tuya varios dias, mientras esto lo dejas y lo subes
y ya tienes la subida de shell.


Las webs que hacen eso hay muchisimas, un saludo.

solo basta con hacer un script en perl que ejecute comando en el servidor, no es necesario construir toda una shell-web

dime una sola web actualizada que puedas bypassear el filtro de archivos cone se metodo.

Saludos

Skillmax, el asunto es que subir un cgi en otro lenguaje si no se puede en PHP/ASP o cualquier lenguaje con módulo en el servidor no es ninguna técnica nueva. Es algo tan obvio que la gente no lo considera como una técnica vanguardística ni mucho menos, por eso no hay nada publicado. Y es lo que decía Yoya, tan sencillo como subir un cgi en perl/ruby/python/cualquier lenguaje con interprete en la máquina, que ejecute comandos en el sistema. No hace falta que subas otro upload. Además, piensa que lo ejecutado por la shell PHP lo va a realizar el usuario nobody, mientras que si subes un script en otro lenguaje que no dependa de un módulo del servidor, no.

No es necesario crucificar.
Me parece que Tenia proteccion javascript que el no se dio cuenta, entonces subiendo un .html genero una especie de acceso directo. hacia el mismo script.
@ SkillmaX : entiendo tu bronca. aveces uno cree que descubrió algo o que le resulto algo bien extraño y se emociona al compartirlo.  Algo que e aprendido , es que si mas de 2 usuario que tienen mas de 500 Post te comentan que tienes que revisar tu Post, es mejor hacerle caso  y no remar en contra de la corriente, si te dicen que es absurdo lo mejor es revisar el "Porque" dijo eso  y dejar el orgullo de lado.


Saludos Bro.

Llevais razón los dos, pero lo mas novatos no sabran subir una shell en perl, aun peor
encontrarla o en otro lenguaje, de hay creé esto para que suban el upload y desde hay la shell, esta claro que el servidor deberia de permitir el php.


Un saludo bro!

Claro, y como es que no lo dijiste al principio?  Realmente no importa ¬¬

Lo dije, dije que se podría hacer de varias maneras la subida de shell, solo que para lo mas novatos es mejor esta.

Permiteme decirte que eso solo lo pusiste en el post anterior, me he leido todo el hilo y no he encontrado nada parecido a eso que dices.

:xD
haber...
un upload que no filtre .cgi|.pl|py|etc?
un servidor que   interprete php|asp|jsp|?

mas simple, encuentra un LFI y manda un jpg.
saludos!


 

Si también se puede hacer asin.. gracias bro!

si quiere testear uploads vulnerables busquen en google cualquier php-nuke que tenga el mod "My Uploads" y suben un archivo con extensión .php y después lo renombran a .php. con punto en ambos lados y eso es todo o si no se suben un htaccess para agregar una extensión ejecutable y ya xD