You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Bueno si alguien reporto hace 2 semanas, no públicamente, deberian verlo arreglado ya hace, y también es mala idea tener los servicios como subdominios del propio foro peo cada cual sabra 

Mmm... mala porque? Ahí si que me pillas

Basicamente como ya paso en más sitios donde reporte vulnerabilidades en ese caso fue una Cross site Scripting, gracias a una xss en un uploader , resumiendo  podia subir archivos con extensión inventada (.test) cuando accedias a ellos se ejecutaban como html, por lo tanto lo que hice fue redirigir el mismo sitio para robarle las cookies del DOMINIO, entonces obtenia la del foro smf , que era el dominio principal. Si el uploader no hubiera sido un subdominio, en ningun momento hubiera tenido acceso a las cookies del dominio principal que en este caso eran SMF.

Ahora me pillas tú?

Si, ya pillo por donde ibas  en ese caso estando bajo el mismo dominio es cierto que puedes acceder a la cookie del dominio principal

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Bueno si alguien reporto hace 2 semanas, no públicamente, deberian verlo arreglado ya hace, y también es mala idea tener los servicios como subdominios del propio foro peo cada cual sabra 

Mmm... mala porque? Ahí si que me pillas

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
nuclan, no usan ftp??, son muchos dominios alojados ahi?, si la respuesta es "si" entonces tiene q tener sftp....

Se me ocurre q veas el config.php de los demas dominios, y si encontras el sftp podes probar dichas credenciales de mysql en el sftp, quizas alguna sea igual para entrar. Tambien las mismas creedenciales las podes probar en el admin (directorio de cada web).

Y sino la mas simple la cual todavia no vi que te hayan recomendado hasta el momento es... tenes un SQL, podes consultar la DB, fijate si podes ver todas las DB's, el objetivo es lograr encontrar las creedenciales del admin de alguna web, entrar al admin de la web y buscar un upload, bypasseas el upload y listo.

Saludos.

Pues el tema es que no es un servidor compartido. Es justo todo lo contrario, son varios servidores para una misma web
Aún sigo sin poder subir shell xD

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Los Simpsons

Intel o AMD?

Intel

SQL Injection o LFI?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
que tal NUCLAN, me preguntaba si lograste hacer algo con esto?

tengo exactamente el mismo problema solamente que yo si puedo escribir en /tmp .... pero no me deja en el /www/web/dir ...

de hecho mi injeccion es tanto por sqlmap como manual ... y manual me da error:

Can't create/write to file '/var/www/web/udx.php' (Errcode: 13)

si alguien sabe como lograr escribir sin tener permisos alli ...

No amigo, debe tener restricción de escritura en esas carpetas vía apache.
Prueba a intentar escribir la shell en carpetas de imágenes que suelen tener permisos 755.
Si no te funciona, te puedo aconsejar que mediante load_file() vayas leyendo el código fuente y buscando otras vulnerabilidades.
si encuentras un LFI ya esta todo hecho, simplemente subiendo la shell a /tmp y cargándola con el LFi

Saludos

Eso depende mucho del servidor donde este alojado el mailer, o del smtp que viene a ser lo mismo. Claro esta que el mensaje que envias, asunto, y direccion spoofeada tambien cuenta.
Yo he llegado a enviar correos spoofeados a hotmail,gmail a inbox pero solo pasa eso con algunos servidores, sobretodo los que tienen cierta reputación,https..etc
Tendras que subir bastantes shells e ir probando con mailers si lo quieres hacer tu mismo o bien quiza tendrias que buscar a alguien que lo venda
Saludps

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Primero diría que quizás la inyección pueda estar mal echa y por eso no crea el archivo, y por otra parte podrías fijarte si los datos de logeo a la DB MYSQL concuerdan con los del FTP (Me ocurrió muchas veces), y esos logs que nombras de ftp y .bash_history no creo que te sirvan de mucho, y como ultima medida quizas con un reverse ip puedas llegar a esa web.

Saludos!

La inyecion esta bien, no es nada del otro mundo. El select 1,2,3,4,0x333c3c3c.... into outfile '/var/www/web/imagenes/file.php'. Es más, el sqlmap tampoco puede subir la shell con los dos metodos que tiene. Hice un reverse DNS y un lookup de dominios, que metiro el del webmail, subdominio de admin y otros. Ya probe a conectarme al puerto de mysql que me consta en los archivos de configuracion pero parece ser que no aceptan conexiones desde fuera de la red local, como suele ocurrir. Tendre que correr un nmap en todos los servidores que encuentre para encontrar el puerto ssh y ftp que estan cambiados y probar con las credenciales de mysql. Otra cosa ya no se me ocurre

EDIT: no usan ftp, solo ssh y no permite logear con usuario y contraseña, solo con llave RSA. La version mas desactualizada que he encontrado ha sido OpenSSH 6.0.p1

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Mi conexión a Internet esta bajisima y por el momento apenas puedo ingresar al foro. Esos datos están bien y tendría que dejarte crear un archivo, proba como te dije anteriormente en un directorio de imágenes  o alguno que veas en la estructura de la web y que parezca con permisos para eso, y si no, lo único que se me ocurre es que la inyección puede estar mal.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login He probado a intentar subirlo a otros directorios sin éxito, como ya me temia. Si no me deja escribir en /tmp, difícilmente me dejara escribir en otros directorios. Quiza sea que mysql si tiene permisos pero no el servidor nginx. Si me dejara conectarme con --sql-shell de sqlmap podria intentar acceder a otros servidores de base de datos de su red local ya que tengo las credenciales pero esa función no me funciona en sqlmap y manual, la verdad no se como hacerlo, he googleado pero sin resultados.

Y sino, aprobechando que tengo LOAD_FILE() que mas archivos podría cargar para intentar conseguir algo útil? tipo a logs para ftp,comandos de sistema como .bash_history...etc

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La verdad que es raro, por que si tenes en YES el permiso FILE() en MYSQL  tendrías que poder crear un archivo y subir una shell tranquilamente, ya que la única limitación que tiene es que no se pueden sobre escribir archivos ya creados. Ahora lo que mas me llamo la atención es que no te deje escribir en /tmp/ siendo un directorio que siempre tiene permisos de escritura (por cierto no es accesible desde la web, por lo que no tiene sentido subir algo ahí), yo  diría que nginx.conf no te dio bien la ruta del servidor, yo tengo una shell en un servidor con nginx y la ruta que da ese archivo (/var/www/) no es para nada la misma de donde esta la web vulnerable (/websites/site.com/ ) por lo que FILE no encuentra ruta para escribir la shell.

PD: Cuando tengas bien la ruta te recomiendo meter la shell directamente en un directorio de uploads de imágenes, casi siempre tienen permisos 777

Saludos!

Exacto, se que escribir en /tmp es una tonteria sin un LFI, pero sabiendo que ahi siempre hay permisos de escritura queria comprobar si la consulta devolvía false al igual que si intento escribir en el path de la web.
La ruta que me dio nginx.conf esta perfecta, ya que con LOAD_FILE() me he visto el codigo fuende de media web xD
El usuario en sí no es root, pero tiene privilegios de tal, te adjunto una imagen para que lo veas. La verdad es que es raro y deberia dejar de escribir.

Si quieres verlo tu mismo podemos hacer un teamviwer y te haces una idea de lo que pasa
Saludos amigo

Para android tienes algo mas funcional en estos tiempos que son los pin de los routers. Bastante mas efectivo que el antiguo pulwifi que ya quedó obsoleto.
No soy usuario de android por lo que no me he adentrado en el tema, pero en un minuto he econtrado varias, prueba el que mas te guste: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login lo que se me ocurre es que con LOAD_FILE() trates de cargar algún archivo de configuración que pueda contener el path del servidor como el típico "config.php", o si no buscar por reverseip las webs alojadas en el mismo server y tratar de ver si alguna tiene FPD y te pueda decir la ruta del servidor para inyectar la shell, y si no pudiste con ninguna de las ideas que te di, proba con algún bruteforce que trate de a "adivinar" la ruta del server, como por ejemplo el que trae SQLMap.

Saludos!

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ya conseguí sacar el path de la web, para quien lo quiera saber lo que hice fue leer el archivo de configuracion que estaba en /etc/nginx/nginx.conf

El problema es que leer archivos si tengo permiso, pero escribir no. Ni siquiera en /tmp, algo que no entiendo muy bien ya que cuando inyecté para ver los permisos todo me tiraba "Y" y "root". Leyendo ficheros he sacado hasta la contraseña de root de mysql pero los servidores de base de datos he visto que estan en su red local y sin subir una shell no puedo hacer pivoting.

Tambien pense en usar la opcion --sql-shell de sqlmap y logearme como root para desde ahi hacer INTO OUTFILE, pero tampoco funciona esa shell.

No se si a alguien se le ocurre alguna otra idea que me ilumine, pero por le momento no se me ocurre que mas intentar.

Saludos

Buenas, estoy realizando un pentest a una web y le encontré una inyección SQL la cual tiene privilegios root de mysql y puedo leer /etc/passwd

Quiero subir shell pero no se el path completo de la web, tampoco hay ningún FPD por la web, por lo que debo sacar el path por lógica o mediante el LOAD_FILE()

Se que el servidor es nginx, he probado a intentar cargar los archivos por defecto de access.log y error.log para que me tire el path de la web pero no lo encuentro, por eso pido ayuda si alguien puede darme algún consejo para conseguir el path completo, como por ejemplo otras rutas de error.log de nginx u otro método para sacar el path teniendo LOAD_FILE()

Saludos y gracias de antemano.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
a ver si entendí bien.

la idea es crear un programa que te pide tu nombre y lo imprime con un saludo, pero que si algun usuario malicioso sel le ocurre meterle un "comando" este se ejecute ?

darkspark@darkspark:~/test> ./test
Cual es tu nombre:carlos
hola carlos
darkspark@darkspark:~/test> ./test
Cual es tu nombre:python -c 'print "A"*100'
hola AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

darkspark@darkspark:~/test>

si estoy en lo correcto, en perl lo e conseguido de la siguiente manera:

#!/usr/bin/perl
print "Cual es tu nombre:";
chomp($resp=<STDIN>);
$chek=`$resp`;
$respuesta=$resp;
if($chek){
$respuesta=`$resp`;
}
print "hola $respuesta\n";
exit;

lo cual funciona, pero en un entorno real ningún programador en su sano juicio lo haría, pues seria hacerlo vulnerable a propósito. seguiré buscando si ay una manera de hacerlo en un entorno real

No era asi, en realidad mi pregunta no tenia nada que ver con el wargame... pero bueno.

Ya hablando en tema general, para explotar un buffer overflow se suele poner como parametro $(python -c 'print "A"*100'), y seria lo mismo que si escribiera 100 A's manualmente, pero te quitas del lio de estar generandolo y copiando y pegando.
El problema esta cuando no se pasa como parámetro sino como entrada de teclado en mitad de la ejecucion del programa que recoge lo que hayas escrito tal cual.

Saludos

Entonces, es imposible hacerlo?... @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Exacto jaja pero bueno esto es tema aparte, no tiene nada que ver con la solucion

Gracias por la respuesta, aunque sigo teniendo el mismo problema. He probado tambien a cambiar el orden de las comillas `´ pero nada

Hola, tengo un quebradero de cabeza impresinante y espero que alguien sepa echarme una mano.

La cuestion es que para un exploitme quiero ejecutar un comando, en este caso uno de python, dentro de un programa que pide el nombre.

Me explico: lo normal seria ./exploitme $(python -c 'print "A"*100') y seria lo mismo que si de parametro le pasara 100 A

Pero en este caso los parametros me los pregunta una vez que he ejecutado el archivo

./exploitme
Hola! Dime tu nombre: $(python -c 'print "A"*100')
Tu nombre es $(python -c 'print "A"*100')

Yo quiero que ejecute el codigo python y que al responderme me responda con 100 A. En este caso podria copiarlas manualmente, pero en otros necesito obligatoriamente usar python para meter otros parametros

Un saludo y gracias

Muchas gracias Hu3c0 por tus consejos, al final probe con el H-Worm que es vbs y se salta toda la heuristica y con un ofuscador se queda FUD. El caso es que ese rat tiene pocas opciones y me interesa un keylogger, estaba buscando uno en en autoit ya que en vbs es imposible hacerlo pero no encuentro mucha informacion..

lo veo bien pero la pega es el .net 4... 

Buenas, queria pedir consejo sobre un troyano estable con funciones basicas (a ser posible con alguna que otra funcion de rootkit) que no tenga problemas con las heuristicas ya que he probado el darkcomet y aunque ponga sleep de varios minutos en el crypter siguen saltando las proactivas

Saludos y gracias de antemano