Уязвимости в Simple Machines Forum <= 1.1.5

Обнаружил уязвимость в Simple Machines Forum <= 1.1.5, связанную с предсказуемостью кода подтверждения для смены пароля, а также CAPTCHA в модуле регистрации. Оба механизма используют в своем алгоритме функцию rand(), о недостатках которой я писал в прошлой статье. Сброс пароля администратора SMF выявляет случайное число, сгенерированное с помощью rand(), в виде md5-хэша в самой форме […]

Предсказываем случайные числа в PHP

Стефан Эссер не перестает меня удивлять: в этот раз в своем блоге он рассказал об особенностях генерации случайных чисел в PHP, которые при особых условиях позволяют предугадывать случайные значения. Его находки открывают возможность для реализации совершенно новых атак – Cross Application Attacks, в основе которых лежит неправильное использование веб-приложениями функций для генерации случайных чисел. При […]

LFI/RFI-уязвимости в Wap-Motor 17.5

Сайт разработчика: http://visavi.net/ Уязвимые версии: Wap-Motor 17.5, возможно более ранние версии Описание: сценарий index.php подключает необходимые скрипты, первый из которых (template/start.php) извлекает данные в текущую символьную таблицу, допуская перезапись переменных: <?php extract($HTTP_GET_VARS); extract($HTTP_POST_VARS); extract($HTTP_COOKIE_VARS); extract($HTTP_SERVER_VARS); extract($HTTP_SESSION_VARS); ?> На основе переменных $p и $f составляется строка, которая впоследствии передается в функцию include (index.php@48-56): <?php if(empty($f)){$f=’index’;} echo […]

Обход авторизации в Symphony 2 Beta

Сайт разработчика: http://21degrees.com.au/ Уязвимые версии: Symphony 2 Beta до revision 5 Уязвимый код в /symphony/lib/core/class.symphony.php@126-142: <?php public function isLoggedIn(){ $un = $this->Cookie->get(‘username’); $pw = $this->Cookie->get(‘pass’); $id = $this->Database->fetchVar(‘id’, 0, “SELECT `id` FROM `tbl_authors` WHERE `username` = ‘$un’ AND `password` = ‘$pw’ LIMIT 1”); if($id){ /* […] */ } /* […] */ } ?> Описание: данные […]

Выполнение произвольных команд в Symphony 1.7.01

Однажды я натолкнулся на Symphony – бесплатную платформу для публикации в web с открытым исходным кодом. Основное достоинство системы – использование XSLT в шаблонах, что является достаточно редким явлением среди платформ подобного рода. Сведений в багтраке по поводу обнаружения уязвимостей в Symphony я не нашел, поэтому без колебаний решил провести пен-тестинг движка с целью выявления […]

Pangolin: SQL-инъекции теперь не утомляют

Нет-нет, pangolin – это не название препарата =) На самом деле это новый интрумент для быстрой и эффективной эксплуатации SQL-инъекций, разработанный китайскими хакерами, и переводится как “ящер”. По заявлению главного разработчика, это самая лучшая программа среди подобных; возможно это так и есть, ведь в Китае pangolin является самым популярным интрументом для работы со SQL-инъекциями. Признаться, […]

Эксплоит для одноклассников

Сегодня обнаружил, что RST/GHC вдруг возродилась. Признаться, для меня это было открытие. Только теперь объединенная команда состоит еще из одной тимы: UKT. Кто это такие мне пока неизвестно. А вот сплоит для одноклассников теперь известен всем =) Сегодня его раздавали на IRC-канале всем желающим.

Инклуд удаленных файлов в microSSys CMS 1.5

Обнаружил RFI в microSSys CMS, самой непрофессиональной CMS’ке, которую я когда-либо видел. Помнится был WCPS, который занимал в моем “почетном” рейтинге первое место, но эта CMS еще ужасней во всех отношениях, включая и безопасность. Вот хоронология моих действий: переписал файлы на локалхост открыл в браузере скрипт установки испугался и закрыл открыл исходный код index.php снова […]

Spellchecker (TinyMCE module) Remote Command Execution

Найдена уязвимость в модуле TinyMCE для проверки орфографии – Spellchecker. Данный модуль вместе с самим TinyMCE используется в последних версиях WordPress (ветка 2.5.*), однако эта уязвимость не является полноценной, так как встретить ее на реальном сервере в сети вряд ли можно. Несмотря на это, уязвимость, действительно, серьезная, так как она позволяет выполнить произвольные команды, поэтому […]