Уязвимы на данный момент все версии движка форума ,для эксплуатации необходимы права админа форума, возможность изменения пути загрузки аватар, возможность записи в WEB каталог , загрузка левого файла производится вместо загрузки аватары. Уязвимость возникла из за хреновой реализации файловых функций в языке PHP, вследствии чего теоретически возможна эксплуатация уязвимости на многих других движках.
Есть подозрения на ipb, время будет проверю.
P.S. phpBB имеет такую же уязвимость.

copy('1.jpg', "./dir_for_upload/1.php\0"."/2.jpg");
или
copy('1.jpg', "./dir_for_upload/1.php/\0"."/2.jpg");

копирует файл 1.jpg как 1.php, в функциях move_uploaded_file() и rename() тоже самое.

unlink("./dir_for_upload/1.php\0"."/2.jpg");

удаляет файл 1.php

unlink("./dir_for_upload/1.php/\0"."/2.jpg");


Warning: unlink(./dir_for_upload/1.php/) [function.unlink]: Not a directory

не удаляет файл 1.php


P.S. +уязвимости:
в punBB удаление произвольного файла.
в phpBB раскрытие установочной дирриктории.

вчём суть то ?
интерсно стало ...

ты случайно не про загрузку аваторы с php кодом?
а то что-то непонятно где собака зарыта

ты случайно не про загрузку аваторы с php кодом?

А толк загружать аватару с php кодом это нечего не даст без файла .httaces так как надо исполнять аватары как php код вот тогда будет толк ну а какой админ будет засовывать такой .httaces в папку с аватарами ? разве что дебил ....

А вообще тема интересная....

2Nova
http://milw0rm.com/exploits/1780
Там через языки инклудят аватору, или типо того. Не разбирался.

дык инклуд это одно а я имел в виду простое исполнение .gif или .jpg файлов с php кодом в папке без хттаксеса этож не реально... имея простой уязвимый код...
Просто сам апач должен обрабатывать данный тип расширений как php код...

Сплойт не плохой кстати я в перле не силён но идея реализована неплохо...

2k1b0rg дай свою аську а то у меня твой номерок старый остался или сам мне стукни :)

теоретически возмоно эксплуатация баги
теория не рулит =\

теория не рулит =\
ребят вы что думаете что я обманывать вас буду? нах?
Я же ясно написал что:
Уязвимость возникла из за хреновой реализации файловых функций в языке PHP

ShAnKaR

Дык, а как ей пользоваться-то ? :)

обновил

http://www.security.nnov.ru/Odocument221.html
http://milw0rm.com/exploits/2348

Вот и подведён итог этой темы...

2 Shankar и какой смысл было тогда сюда это постить?

когда он постил, бага была приватной. Пока мы протупили пытаясь понять, в чом же смысл баги, он уже выложил ее в паблик =)))
Отсюда мораль: Нада меньше ******(клювом) щелкать =)

Спустил тему в паблик. Так как уязвимость опубликована в паблике...

Я вот смысла не пойму, зачем выкладывать на паблик?? За это платят?? Хоть бы antichat.ru в багтраке упомянул....

как я пронял, если
--------------------------------------------------
-avator_path | куда закачаетcя картинка(любого юзера)-
-/images/avators/ | /images/avators/Kenny's_killer-svoloch.jpg-
-/images/avators/2.php/\0 | /images/avators/2.php-
--------------------------------------------------

Я вот смысла не пойму, зачем выкладывать на паблик?? За это платят?? Хоть бы antichat.ru в багтраке упомянул....


Дык, ну вообще-то автор сам в праве решать, что делать с найденной уязвимостью. Осуждать - тут как-то неуместно..

Автор сам в праве решать, что делать с найденной уязвимостью. Осуждать - тут как-то неуместно..

Согласен, но если в этом есть реальный смысл кроме удовлетворения собственного тщеславия, то можно работать и на оффициальный багтрак.

убрал, теперь можешь убрать цитату из своего, а то непонятки получаются