Posted: 29.09.2005 06:29 Post subject: HTTP_NONO (cutenews exploit)
Ima već neko vrijeme kako se pojavilo ovo:
http://rgod.altervista.org/cutenews140.html
ukratko, moguće je inđektirat php kod u /data/flood.db.php i potom ga izvršiti čistim pozivom na fajl .. tako bar piše ..
e sad, da exploit postoji to je točno, inđekšn je moguć, ali poziv na fajl nije. cute dolazi sa .htaccess-om u data folderu koji kaže 'Deny from all; Allow from 127.0.0.1' što znači da se fajl flood.db.php ne može pozvat izvana.
Sve ovo se odnosi i na cutenews 1.3.6.
Nemojte se nikada pouzdati u HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR i slične jer su to informacije koje pruža browser i mogu se lako fejkat. REMOTE_ADDR vam daje server. držite se toga. ( teže je mijenjati proxije nego HTTP_CLIENT_IP );
Primjer (sa par prepravaka ovo bi bio cutenews comment flooder):
ps onaj exploit nije pisao php-ovac jer nijedan koji drži do sebe nebi naveo:
# make these changes in php.ini if you have troubles with this script:
#register_globals = on
.. mislim stvarno ...
_________________ Let Your Bookmarks Define You ..
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum