ANTICHAT — форум по информационной безопасности, OSINT и технологиям

[COLOR="Lime"][SIZE="3"][CENTER]SMF

Подскажите, есть ли эксплоит по уязвимости версий 1.0-RC1 — 2.0-Beta3.1 в файле SSI.php?

Описание: http://www.cvedetails.com/cve/CVE-2011-1127/

[QUOTE="Osstudio"]
Osstudio said:
[COLOR="Lime"][SIZE="3"][CENTER]SMF

собственно интересует:есть доступ к форуму версии 2.0.1 полные права,как залить и заставить исполнятся шелл

Хмм... а почему тут нет информации как зайти при login2, если вытащили таки passwd(например сукуля в другом проекте с 1 мускулем), а вскрыть не получается?

Описать или я просто что-то не заметил?

Опиши.

Собственно найден сей способ мною, когда столкнулся с тем, что смог вытащить passwd, а расшифровывать его не было времени + пароль оказался совсем не стандартным.

В общем для старта нам нужно:

1) Что-то чем можно редактировать и абортить запросы от браузера серверу(я использую charles)

2) Собственно сам passwd и логин(имейте ввиду, что отображаемый ник не всегда одно и то же, что логин)

Смотрим исходник главной страницы и ищем форму:

Обратите внимания на последнюю часть, она нам пригодится.

Вся особенность данного метода, что для логина используется дважды sha1 пароль, причем делается это через js скрипт.

Отправляемый пакет имеет строку passwd криптующийся по формату:

Т.е. по сути для логина достаточно нашего passwd, который как известно равен sha1(lower(username).password

1) Формируем закрытый ключ, который бы обосновывался на описанном ранее методе к нужному нами пользователю

2) Выставляем бряку на запрос к логин-форме

3) Логинимся под рандомными именами и паролями

4) Редактируем запрос на нужный нам(вставляя логин/пароль админа)

5) Отправляем

6) ....

7) Льем шелл из-под админа путем добавления новой темы.

PS Актуально для SMF 2.0.2 - на прошлых версиях не проверялось.

А какой шелл для версии SMF 2.0.2 будет наиболее удобным, более полно отвечающим структурам форума и расположению файлов и директорий?

На 1.1.7 сработает?