[Mic3276]

Bonjour à tous!

J'aurais besoin d'aide pour quelque chose sur laquelle je me casse la tête depuis longtemps.

Premièrement, mes intentions ne sont pas mauvaises du tout, je fais tout ça dans le but d'apprendre.

Alors voilà, pour commencer, j'ai obtenu l'accès au panneau d'administration(Easy Admin) d'un guestbook grâce à un fichier nommé "userpass.sql" qui traînait sur le serveur. Alors j'ai vu qu'on pouvait éditer les templates de n'importe quelle page. J'ai donc décidé d'éditer une page déjà existante nommée index.php(l'accueil du guestbook) et de faire en sorte qu'on puisse passer des commandes au shell à l'aide de cette page, en toute discrétion, en utilisant la commande passthru de PHP. Je peux alors lister tous les fichiers du serveur en insérant ma commande dans une url modifiée.

Mais le problème est que lorsque j'utilise la commande whoami, le nom de l'utilisateur qui apparaît n'est pas root, mais celui d'un utilisateur ordinaire(ce qui est normal d'ailleurs). Mais je voudrais savoir s'il y a moyen de trouver ce mot de passe quelque part dans le système. J'ai essayé de regarder dans /etc/passwd, mais le mot de passe est shadowé, donc impossible de le voir tant qu'on est pas en root.

Si vous avez une idée, ce serait bien de la partager !



PS: Plusieurs GuestBook "Advanced guestbook" comportent le fichier userpass.sql (http://www.xxxxxx.com/guestbook/doc) qui lui-même contient le mot de passe et le username non encrypté du panneau d'administration.

[Romano]

Salut

Tout d'abord, il faut que tu regardes la version du kernel (uname -a), surtout qu'en ce moment, un exploit local root  traine pour les 2.6.13 <= 2.6.17.4

Ensuite, si le kernel est à jour ou patché, il faut regarder du côté des deamons (ps -aux) pour voir ce qui tourne, puis après tu regardes la signature de chacun des services pour identifier la version de ces derniers et chercher un exploit.

Parfois même sans avoir les accès root on choppe des trucs très sympa, ça depend de l'hébergeur

A+

[pepekiss]

Romano je vois que t'es allé faire un tour sur milw0rm toi aussi

[Gardel]

un exploit local root  traine pour les 2.6.13 <= 2.6.17.4 big_smile

Bordel merci de prévenir, faut que je vois ça :p

[Mic3276]

Mmm j'ai regardé et c'est un vieux kernel:2.4.20. Il doit bien avoir d'autres exploits de ce genre !

Merci pour la réponse!

[Gardel]

Certainement, plus c'est vieux, plus c'est faillible

[Mic3276]

J'ai essayé de compiler un exploit en C, mais j'obtiens l'erreur suivante:

Exploit.c: In function ‘sigchld’:
Exploit.c:93: error: ‘struct user_regs_struct’ has no member named ‘eip’
Exploit.c:95: error: ‘struct user_regs_struct’ has no member named ‘eip’


Voici le bout de code correspondant:

void sigchld(int signo)
{
   struct user_regs_struct regs;

   if (gotchild++ == 0)
      return;
   
   fprintf(stderr, "

• Signal caught\n");

   if (ptrace(PTRACE_GETREGS, victim, NULL, &regs) == -1)
      fatal("[-] Unable to read registers");
   
   fprintf(stderr, "

• Shellcode placed at 0x%08lx\n", regs.eip);

   
   putcode((unsigned long *)regs.eip);

   fprintf(stderr, "

• Now wait for suid shell...\n");

   if (ptrace(PTRACE_DETACH, victim, 0, 0) == -1)
      fatal("[-] Unable to detach from victim");

   exit(0);
}

Pourtant, en regardant sur Google, j'ai vu d'autres programmes utilisant la structure user_regs_struct et il n'y avait pas d'erreurs..

Est-ce que ça peut être causé à cause d'une distribution 64 bit?

[Nebelmann]

Les bases de l'architecture x64 [...] En outre, le registre 32 bits EIP devient le registre RIP.

Effectivement, sur les processeurs 64 bits c'est plus pareil apparemment .

[Romano]

Faut faire attention quand on voit un noyau style 2.4.20-xx en général c'est le noyau "officiel" de la distrib et il est donc patché !

[pepekiss]

si toutefois l'admin fait les mises a jour ...

[Mic3276]

Hey, merci, le programme a bien compilé cette fois.
Reste plus qu'à l'exécuter sur l'ordinateur distant et voir ce que ça donne..

[Mic3276]

Merde, y a-t-il un moyen de compiler ce programme sur une architecture 64 bits pour qu'il fonctionne sur un système 32 bits?

[pepekiss]

compile le directement sur la machine :p

[Mic3276]

Lol c'est pas mauvais comme idée, j'y avais même pas pensé