Уязвимы на данный момент все версии движка форума ,для эксплуатации необходимы права админа форума, возможность изменения пути загрузки аватар, возможность записи в WEB каталог , загрузка левого файла производится вместо загрузки аватары. Уязвимость возникла из за хреновой реализации файловых функций в языке PHP, вследствии чего теоретически возможна эксплуатация уязвимости на многих других движках. Есть подозрения на ipb, время будет проверю. P.S. phpBB имеет такую же уязвимость.
PHP: copy('1.jpg', "./dir_for_upload/1.php\0"."/2.jpg"); или copy('1.jpg', "./dir_for_upload/1.php/\0"."/2.jpg"); копирует файл 1.jpg как 1.php, в функциях move_uploaded_file() и rename() тоже самое. PHP: unlink("./dir_for_upload/1.php\0"."/2.jpg"); удаляет файл 1.php PHP: unlink("./dir_for_upload/1.php/\0"."/2.jpg"); не удаляет файл 1.php P.S. +уязвимости: в punBB удаление произвольного файла. в phpBB раскрытие установочной дирриктории.
А толк загружать аватару с php кодом это нечего не даст без файла .httaces так как надо исполнять аватары как php код вот тогда будет толк ну а какой админ будет засовывать такой .httaces в папку с аватарами ? разве что дебил .... А вообще тема интересная....
2Nova http://milw0rm.com/exploits/1780 Там через языки инклудят аватору, или типо того. Не разбирался.
дык инклуд это одно а я имел в виду простое исполнение .gif или .jpg файлов с php кодом в папке без хттаксеса этож не реально... имея простой уязвимый код... Просто сам апач должен обрабатывать данный тип расширений как php код... Сплойт не плохой кстати я в перле не силён но идея реализована неплохо... 2k1b0rg дай свою аську а то у меня твой номерок старый остался или сам мне стукни
http://www.security.nnov.ru/Odocument221.html http://milw0rm.com/exploits/2348 Вот и подведён итог этой темы...
когда он постил, бага была приватной. Пока мы протупили пытаясь понять, в чом же смысл баги, он уже выложил ее в паблик =))) Отсюда мораль: Нада меньше ******(клювом) щелкать =)
Я вот смысла не пойму, зачем выкладывать на паблик?? За это платят?? Хоть бы antichat.ru в багтраке упомянул....
как я пронял, если -------------------------------------------------- -avator_path | куда закачаетcя картинка(любого юзера)- -/images/avators/ | /images/avators/Kenny's_killer-svoloch.jpg- -/images/avators/2.php/\0 | /images/avators/2.php- --------------------------------------------------
Дык, ну вообще-то автор сам в праве решать, что делать с найденной уязвимостью. Осуждать - тут как-то неуместно..
Согласен, но если в этом есть реальный смысл кроме удовлетворения собственного тщеславия, то можно работать и на оффициальный багтрак.
