[ Обзор уязвимостей TorrentTrader ]
 

Уязвимости TorrentTrader

Офф сайт разработчика: torrenttrader.org
На сегодняшний день последняя версия: FINAL v1.08 Notes(2008-06-17)
Скачать отсюда:
http://sourceforge.net/project/showfiles.php?group_id=98584&package_id=180927&rel ease_id=545219
TorrentTrader – набирающий популярность торрент движок по размещению и скачиванию торрентов.

Для начала рассмотрим публичные уязвимости под различные версии:

TorrentTrader 1.0 SQL Inject

Эксплойт: TorrentTrader 1.0 RC2 SQL Injection © By aCiDBiTS

TorrentTrader Classic v1.07

Тут у нас пару XSS от хакиря «HACKERS PAL»

Примеры:
TorrentTrader Classic Edition 1.08

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "msg" в сценарии account-inbox.php. Удаленный пользователь может с помощью специально сформированного частного сообщения выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Пример: 2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед отправкой частного сообщения. Удаленный пользователь может с помощью специально сформированной ссылки отправить произвольное сообщение пользователям приложения.

Пример: 3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "url" в сценарии redirect.php. Злоумышленник может с помощью специально сформированной ссылки перенаправить пользователя на потенциально небезопасный сайт.

Пример: Баги обнаружены 03 марта, 2008 © securitylab.ru

TorrentTrader версии 1.08 до 17.06.2008

1. Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "email" и "wantusername" в сценарии account-signup.php и в параметре "receiver" в сценарии account-inbox.php (когда установлен параметр "msg"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:
Баги обнаружены 18 июня, 2008 © securitylab.ru

++++++++++++++
Теперь поинтереснее, баги найденные модератором античата gibson`om, для:

TorrentTrader v2.04:

1. Раскрытие пути и системная информация
check.php
ps если админ его не удалил, а то маячит в админке, так что не вариант, что файл будет на сайте.

2. Слабый пароль.
Меняем пасс через востановление и пасс меняется в диапозоне 10000 до 50000 только цифры. Можно написать брут на перле имхо идеальный вариант будет и перебрутить пасс.
ps Нужно мыло пользователя!

3. Возможно "тырить" бекап бд
backup-database.php buckup будет в /backups в формате
$db-$year$month$day-$hour$min.gz

ps если знаем название базы.

4. Xss
В сообщениях все фильтруется, но если используется кодировка utf 7, то все поля подверженны ксс.
В админке везде ксс, практически ничего не фильтруется.

xss при отправке репорта ([Report Torrent]), отправляем мессагу вставляем любые теги (активка). Мессага пойдет админу!

[c] gibson

++++++++++++++
Ну и далее пару мелких багов найденных мною.
TorrentTrader Classic Edition 1.08
XSS: Далее установил последнюю версию:
FINAL v1.08 Notes(2008-06-17) (скачал сегодня)
Наткнулся на раскрытие пути:
Поиск багов в прогрессе… ©

Кто ещё чем сможет дополнить, просьба публиковать различные сплойты, публичные, или найденные вами дырки.
Как показывают опросы, этот движок пользуется спросом в локалках разных провайдеров, так что… так..
:)

Заливка шелла через админку в последней версии FINAL v1.08 Notes(2008-06-17)
Идём в раздел "Database\База данных"
Далее выполняем SQL запрос:
Запрос выполняется замечательно.

Далее, войти в админку можно утащив куки с помощью XSS, а получить полный путь до файла можно с помощью раскрытия пути.