»зменение содержимого логов поиска с целью выполнение команд на сервере в Ikonboard 2.1.9 RussianFullPack форуме

ƒата публикации:
19.07.2004
¬сего просмотров:
2110
ќпасность:
¬ысока€
Ќаличие исправлени€:
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
¬оздействие:
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
”€звимые версии: Ikonboard 2.1.9 RussianFullPack

ќписание: ”€звимость в Ikonboard в search.cgi позвол€ет удаленному пользователю изменить содержимое логов поиска, чтобы выполнить произвольные команды на сервере.

”€звимость обнаружена в сценарии search.cgi. —крипт не провер€ет параметры поиска, занос€ их в лог файл. “.к. лог файл хранитьс€ в папке /cgi-bin/board/search, то при вызове лог файла, последний вызоветс€, как скрипт. “ем самым, придав сохран€емым в лог параметрам вид выполн€емых perl - функций, становитс€ возможным выполн€ть команды. ¬зломщика интересует 2 параметра. ѕервый параметр, вносимый в лог - это CUR_TIME, задав его значение как "#/usr/bin/perl" взломщик задаст первую строку лога.

¬торой параметр SEARCH_STRING, задав вместо него "print 'Content-type: text/html\n\n'; system('ls');", взломщим получит выполнение команды "ls". ¬ажно заметить, что двойные кавычки фильтруютс€ сценарием, но их нужно заменить на одинарные. «наки ">" и "<" так же фильтруютс€, поэтому открыть файл на запись не состоит возможным.

“ак же стоит заметить, что при использовании функции поиска зарегистрированным пользователем лог файл имеет название [USERNAME]_sch.txt, если пользователь не зарегистрирован в форуме, то файл имеет название Guest[IP-адрес без точек]_sch.txt. (например, Guest127001_sch.txt).

ѕример/Ёксплоит: Ёксплоит под Windows Apache (perl) вложен ниже. ѕроверено на локальной системе.

—одержание Guest127001_sch.txt после эксплоита:

#!perl
print 'Content-type: text/html\n\n'; system('dir');

URL производител€: http://www.ikonboard.com/

–ешение:—пособов устранени€ обнаруженной у€звимости не существует в насто€щее врем€.

”€звимость обнаружил »ван ∆данов [dokk21@rambler.ru]

—сылки: Ёксплоит

или введите им€

CAPTCHA