14.01.2008, 02:24
|
|
Постоянный
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
WordPress <=2.3.1 Cookies Manipulation - Вход по md5() хешу пароля в куках
Вход по md5() хешу пароля в куках
Программа: WordPress 2.3.1 и более ранние версии
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.
Уязвимость существует из-за того, что злоумышленник может создать два аутентификационных файла куки ("wordpressuser_*" и "wordpresspass_*") из данных в таблице "users" и получить административный доступ к приложения. Для успешной эксплуатации уязвимости злоумышленнику требуется получить доступ на чтение таблицы "users" в базе данных.
описание и сайт
http://www.cl.cam.ac.uk/~sjm217/advisories/wordpress-cookie-auth.txt
==================================
PHP код:
$siteurl;$host;
'wordpressuser_'.md5($siteurl).'='.$login
'wordpresspass_'.md5($siteurl).'='.md5(md5($pass))
Здесь $siteurl - переменная которая лежит в БД:
wp_options
-siteurl
Тоесть при SQL-инъекции желательно вытащить и ее тоже: (select siteurl from wp_options)
Иногда один вордпресс используется для разных доменных имен.
Тогда вместо $siteurl берется $host, фактически равное URL-пути до блога, например:
http://wordpress.com/blog
без слеша на конце.
NEW! Дополнение.
Раскрытие COOKIEHASH.
Необязательно вообще добывать siteurl, кодировать его в мд5 и проверять.
Достаточно послать пост-пакет на wp-pass.php или на wp-login.php
В ответе вам вернется валидный COOKIEHASH кукиса.
[-1-] /wp-login.php?action=logout
[-2-] wp-pass.php
Код:
POST /wordpress/wp-pass.php HTTP/1.0
Host: localhost
Content-Length: 20
post_password=test
Последний раз редактировалось Elekt; 13.06.2008 в 09:20..
|
|
|