[53x]Shadow
08.05.2007, 01:16
[Цель]
www.holm.ru
Бесплатный хостинг с поддержкой php.
[Уязвимость]
Возможность обхода разграничения доступа на уровне веб-сервера апача(httpd.conf) с помощью модуля php для несанкционированного выхода из веб папки.
[Реализация]
1. Регистрируем сайт, в любой зоне с свободным именем. Тем самым получаем веб-директорию для создания своего ресурса, с полным набором прав только на эту папку.
2. Через ftp или ssh заливаем любой пхп шелл в нашу директорию, например phpRemoteView (http://php.spb.ru/remview/remview_2003_10_23.zip)
или релиз от madnet c99madshell (http://securityprobe.net/other/soft/c99madshell.rar).
3. Используя функции php(opendir, readdir, dir и т.д.) просмотра и перехода директорий выходим выше выделенной веб папки нашего сайта.
[Результат]
В результате эксплуатации уязвимости получаем возможность выхода из выделенной сервером веб папки с правами предоставленными апачем для хостинга(virtualhost). Существует возможность просмотра корневой директории (./), а так же просмотра остальных директорий и файлов, выполнения определенного набора системных команд, скачивания и закачкой файлов с правами virtualhost. Например удалось вытащить файлы passwd, pwd.db, а так же настойки httpd.conf.
Небольшое уточнение: практические исследования проводились на домене h17, но уязвимость присутствует на всех бесплатных доменах хостинга.
[ЗЫ]
Если недостаточно хорошо написал сильно не пинайте! Готовлюсь к написанию статьи;)
www.holm.ru
Бесплатный хостинг с поддержкой php.
[Уязвимость]
Возможность обхода разграничения доступа на уровне веб-сервера апача(httpd.conf) с помощью модуля php для несанкционированного выхода из веб папки.
[Реализация]
1. Регистрируем сайт, в любой зоне с свободным именем. Тем самым получаем веб-директорию для создания своего ресурса, с полным набором прав только на эту папку.
2. Через ftp или ssh заливаем любой пхп шелл в нашу директорию, например phpRemoteView (http://php.spb.ru/remview/remview_2003_10_23.zip)
или релиз от madnet c99madshell (http://securityprobe.net/other/soft/c99madshell.rar).
3. Используя функции php(opendir, readdir, dir и т.д.) просмотра и перехода директорий выходим выше выделенной веб папки нашего сайта.
[Результат]
В результате эксплуатации уязвимости получаем возможность выхода из выделенной сервером веб папки с правами предоставленными апачем для хостинга(virtualhost). Существует возможность просмотра корневой директории (./), а так же просмотра остальных директорий и файлов, выполнения определенного набора системных команд, скачивания и закачкой файлов с правами virtualhost. Например удалось вытащить файлы passwd, pwd.db, а так же настойки httpd.conf.
Небольшое уточнение: практические исследования проводились на домене h17, но уязвимость присутствует на всех бесплатных доменах хостинга.
[ЗЫ]
Если недостаточно хорошо написал сильно не пинайте! Готовлюсь к написанию статьи;)