Собственно лазил по инету, искал инфу на эту тему и наткнулся на эксплоит (http://www.xakep.ru/post/37655/4b670edd8a27ce87275769e04f2b1503/punbb_remote_code_execution_exploit.txt). Как я понял, сплоит добывает куки админа и загружает бэкдор на форум, и потом через него выполняет введенный пхп код на сервере. Возможно, из-за ошибки или по какой-то другой причине куки админа у меня сплоит добыть не смог.
Но в случае когда есть доступ к админке это и не требуется – их можно узнать самому. Просто логинимся под админом на форуме и в свойствах обозревателя смотрим свои куки. Затем нужно вручную прописать полученные куки в сплоит. Для этого изменяем вот эту строчку сплоита
print "\nCookie hash: ";$cookie = blind($uid);
на эту
print "\nCookie hash: ";$cookie = "punbb_cookie=ваш cookie";
После этого сплоит без труда справится со своими задачами.
Но мне стало интересно что же он там такое делает и после просмотра кода сплоита я составил примерный алгоритм проведения этой атаки своими руками:
* Сначала заходим на форум под админом;
* В настройках форума меняем путь сохранения аватар на этот include/user;
* Терь в настройках форума грузим эту картинку как аватар;
* В настройках форума вписываем в поле дополнительных элементов меню следущее 0 = <a href="URL"><pun_include "id админа под которым вы залогинились.jpg"></a>;
* Наконец, заходим на главную страницу форума и, если все прошло удачно, то теперь в папке img/avatars создан файл backdoor.php.
Обращаемся к нему с параметрами backdoor.php?eval=пхп код для выполнения вашего кода на сервере.
Надеюсь этот материал кому нить пригодится;)
P.S. Самое обидное что для юзанья этой дыры надо чтобы папка include/user была доступна для записи но на многих форумах это увы не так. В моем случае все из-за этого и обломилось..
2 Isis: ты писал у тебя есть приватная уязвимость (пхп инъекция) для этого форума. Меня интересует следущее: скока она стоит? Какие у нее требования к серверу, настройке пхп и т.п. Она распространяется как сплоит или просто как отчет о баге?? Плз! Ответь как можно скорее=)